Eine Nachricht von Deinem Schulfreund, Sonntagabend auf WhatsApp: «Hallo, stimm für die Tochter meines Freundes ab… Sie heisst Sofia. Ich glaube, die Abstimmung endet bald.» Klar hilfst Du. Es geht um ein Kind, der Absender ist ein Bekannter, und viel Zeit bleibt offenbar nicht. Du klickst den Link, gibst Deine Handynummer ein, tippst den Code aus der SMS ab — und ab diesem Moment gehört Dein WhatsApp-Konto jemand anderem.
Das Bundesamt für Cybersicherheit (BACS) warnt im Wochenrückblick vom 26. Mai 2026 vor genau dieser Masche. Sie läuft derzeit auf Deutsch und Italienisch durch die Schweiz — und sie funktioniert erschreckend gut, weil die Nachricht nicht von einem Fremden kommt, sondern von einem echten Kontakt. Dessen Konto wurde nämlich vorher mit derselben Methode gekapert.
Warum die Masche zieht — drei Hebel auf einmal
- Vertrauen. Die Nachricht kommt vom echten Konto eines Bekannten, mit echtem Profilbild und echter Nummer. Kein Spamfilter der Welt schlägt da an.
- Emotion. Es geht um ein Kind bei einem Schulwettbewerb. Wer sagt da Nein? Genau darauf bauen die Täter.
- Zeitdruck. «Die Abstimmung endet bald.» Du sollst klicken, bevor Du nachdenkst. Derselbe Trick wie bei jedem Phishing — nur persönlicher verpackt.
Zwei Wege ins Konto
Weg eins: der SMS-Code. Die gefälschte Abstimmungsseite verlangt Deine Handynummer und danach einen «Bestätigungscode», der per SMS kommt. Das ist kein Abstimmungscode. Das ist der sechsstellige Registrierungscode von WhatsApp, mit dem die Betrüger Dein Konto auf ihrem eigenen Gerät einrichten. Gibst Du ihn ein, übergibst Du ihnen den Schlüssel.
Weg zwei: der QR-Code. Die Seite zeigt einen QR-Code mit der Anweisung: «Öffne WhatsApp, gehe zu Verknüpfte Geräte und scanne den Code.» Das ist die normale WhatsApp-Web-Funktion — nur dass Du damit nicht Deinen Laptop koppelst, sondern den Rechner der Täter. Dein Konto läuft danach parallel auf deren System, ohne dass Du etwas merkst.
In beiden Fällen haben die Angreifer anschliessend vollen Zugriff: Kontakte, Chatverläufe, Fotos, Gruppen. Und dann geht das Spiel von vorne los — Deine Kontakte bekommen dieselbe Sofia-Nachricht, diesmal von Dir. Die Masche verbreitet sich schneeballartig durch ganze Adressbücher.
So machst Du Dein Konto dicht
- Codes sind tabu. Der sechsstellige WhatsApp-Code gehört nur in WhatsApp selbst — nie auf eine Webseite, nie in einen Chat, egal wer fragt.
- Fremde QR-Codes nicht scannen. «Verknüpfte Geräte» koppelst Du nur mit Geräten, die Dir gehören und vor Dir stehen.
- Zweistufige Bestätigung aktivieren. In WhatsApp unter Einstellungen, Konto, Verifizierung in zwei Schritten eine PIN setzen. Damit reicht der SMS-Code allein nicht mehr für eine Kontoübernahme.
- Bei Abstimmungs-Links nachfragen. Ruf den Absender kurz an, bevor Du klickst. Ein echtes Anliegen übersteht einen Anruf — eine Betrugsmasche nicht.
Wenn es schon passiert ist
- Verknüpfte Geräte prüfen. In WhatsApp unter «Verknüpfte Geräte» alles abmelden, was Du nicht kennst.
- Neu registrieren. Wurde das Konto per Code übernommen, meldest Du Dich mit Deiner Handynummer neu an — damit fliegt das Gerät der Täter raus. Haben sie bereits eine PIN gesetzt, musst Du sieben Tage warten, bis WhatsApp den Zugriff wieder freigibt.
- Kontakte warnen — über einen anderen Kanal. Anruf, SMS, E-Mail. Deine Kontakte sind die nächsten Ziele, und sie vertrauen Deinem Namen.
Was bleibt im Kopf
Die Nachricht kommt von einem Bekannten, es geht um ein Kind, und es pressiert — genau diese Kombination ist das Warnsignal, nicht die Beruhigung. Kein Schulwettbewerb der Welt braucht Deinen SMS-Code oder einen QR-Code-Scan in WhatsApp. Wer danach fragt, will nicht Sofias Stimme. Er will Dein Konto.
Quelle: Bundesamt für Cybersicherheit BACS, Wochenrückblick vom 26. Mai 2026 — ncsc.admin.ch.