Eine neue Betrugswelle mit täuschend echten KI-Bots überrollt Messenger-Dienste. Verbraucherschützer und die Polizei warnen vor massiven Schäden und kritisieren die Plattformen scharf.
Der Verbraucherzentrale Bundesverband (VZBV) legte heute seinen ersten Jahresbericht als „Trusted Flagger“ unter dem Digital Services Act vor. Darin werfen die Schützer den großen Online-Plattformen erhebliche Versäumnisse bei der Betrugsbekämpfung vor. Zeitgleich meldet das Polizeipräsidium Karlsruhe einen verifizierten Schaden von rund 2,5 Millionen Euro durch Messenger-Betrug in den vergangenen Wochen.
Banking, WhatsApp und Online-Shopping – auf keinem Gerät sind unsere privaten Daten so angreifbar wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Datendiebstahl absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Im Fokus steht eine perfide Methode: Kriminelle setzen KI-gesteuerte WhatsApp-Kundenservice-Bots ein, um die vollständige Kontrolle über Nutzerkonten zu erlangen. Diese Automatisierung skaliert den Betrug auf ein beispielloses Niveau.
So lockt der gefälschte Support-Bot
Die Masche beginnt mit einer Nachricht, die scheinbar vom offiziellen WhatsApp-Support oder Meta stammt. Durch „Spoofing“ erscheint sie im selben Verlauf wie echte Systemmeldungen. Darin wird vor ungewöhnlichen Aktivitäten, einer drohenden Sperre oder einem dringenden Sicherheitsupdate gewarnt.
Klickt das Opfer auf den Link, landet es bei einem professionell wirkenden Chatbot. Dieser kommuniziert in fehlerfreiem Deutsch und führt durch einen vermeintlichen Verifizierungsprozess. Die KI ermöglicht es, Tausende Gespräche gleichzeitig zu führen und individuell zu reagieren. Das Ziel ist nicht eine direkte Geldzahlung, sondern eine fatale Handlung in den App-Einstellungen.
Die unsichtbare Gefahr: GhostPairing
Der technische Kern des Betrugs nutzt eine legitime Funktion, die Experten als „GhostPairing“ bezeichnen. Das Cybersicherheitsunternehmen Gen Digital dokumentierte diesen Angriffsvektor kürzlich detailliert. Dabei werden weder Passwörter gestohlen noch SIM-Karten gekapert.
Stattdessen weist der Bot das Opfer an, in den WhatsApp-Einstellungen den Punkt für verknüpte Geräte aufzurufen. Dort soll die Verknüpfung via Telefonnummer – nicht per QR-Code – gewählt werden. Der Bot übermittelt dann einen achtstelligen Code. Gibt ihn der Nutzer ein, autorisiert er unbemerkt den Browser der Angreifer als Zweitgerät.
Wer angesichts solcher Sicherheitslücken über einen Wechsel nachdenkt, findet in Telegram eine datenschutzfreundliche Alternative. Dieser Gratis-Report führt Sie Schritt für Schritt durch die Einrichtung und zeigt, wie Sie Ihre Privatsphäre mit verschlüsselten Chats optimal schützen. Kostenlosen Telegram-Leitfaden jetzt als PDF sichern
Ab diesem Moment können die Kriminellen alle privaten Chats mitlesen, sensible Medien herunterladen und im Namen des Opfers Nachrichten an dessen gesamte Kontaktliste versenden. So verbreitet sich der Betrug exponentiell.
Plattformen in der Kritik, Schäden explodieren
Der VZBV kritisiert in seinem Bericht, dass Plattformen auf Meldungen über betrügerische Konten oft zu langsam oder gar nicht reagieren. Die Meldeverfahren wiesen erhebliche strukturelle Probleme auf. Dies erleichtere es Tätern, ihre Bot-Netzwerke lange ungestört zu betreiben. Der Verband fordert strengere Standards und konsequentere Aufsicht.
Die finanziellen Dimensionen sind enorm: Die Karlsruher Kriminalpolizei registrierte in wenigen Wochen Schäden von 2,5 Millionen Euro durch Anlagebetrug und Kontokaperungen via WhatsApp. Da viele Opfer aus Scham keine Anzeige erstatten, geht die Polizei von einer hohen Dunkelziffer aus. Gekaperte Konten nutzen die Täter sofort, um Freunde und Verwandte der Opfer unter dramatischen Vorwänden um Geld zu bitten.
Wie können sich Nutzer schützen?
Experten betonen: Offizielle Support-Mitarbeiter oder System-Bots nehmen niemals proaktiv Kontakt auf, um zur Eingabe von Verknüpfungscodes aufzufordern. Bei unerwarteten Sicherheitswarnungen per Nachricht ist grundsätzlich Misstrauen angebracht. Links aus unaufgeforderten Mitteilungen sollten nie geöffnet werden.
Ein wirksamer Schutz gegen GhostPairing ist die regelmäßige Kontrolle der eigenen App-Einstellungen. Nutzer sollten den Bereich der verknüpften Geräte in WhatsApp prüfen und unbekannte Browser sofort abmelden. Die Aktivierung der Zwei-Faktor-Authentifizierung erhöht die Sicherheit grundlegend.
Branchenbeobachter erwarten, dass die Bedrohung durch KI-gesteuerte Betrugs-Bots 2026 noch zunehmen wird. Ob die regulatorischen Forderungen des VZBV die Plattformbetreiber zu wirksameren Schutzmaßnahmen zwingen, bleibt abzuwarten.
