Meta stoppt neue NSO-Angriffe auf WhatsApp : Spear-Phishing-Kampagne führt zu weiterem Gerichtsschritt gegen NSO Group

Meta geht erneut juristisch gegen die NSO Group vor. Das Unternehmen erklärte jetzt, es habe Spear-Phishing-Versuche entdeckt und gestoppt, die mit dem israelischen Spyware-Anbieter in Verbindung stehen. Parallel dazu beantragt Meta bei einem Bundesgericht eine Verachtung-des-Gerichts-Anordnung gegen NSO Group. Der Vorwurf: Das Unternehmen habe gegen eine dauerhafte gerichtliche Verfügung verstoßen, die es ihm untersagt, WhatsApp und dessen Nutzer ins Visier zu nehmen.

Technisch folgt der neue Angriff einem bekannten Muster. Die Angreifer versuchten nicht, die Ende-zu-Ende-Verschlüsselung von WhatsApp direkt zu brechen. Stattdessen sollten Zielpersonen dazu gebracht werden, auf schädliche Links zu klicken und die App zu verlassen. Meta beschreibt den Ansatz so: „Sie versuchten, Menschen zum Anklicken schädlicher Links zu verleiten, um sie auf externe Webseiten außerhalb von WhatsApp zu führen.“ Das ähnele bereits bekannten Ein-Klick-Phishing-Kampagnen, die NSO zugeschrieben wurden.

Angriff außerhalb des geschützten Messengers

Der Kern des Angriffs liegt in der Verlagerung des Risikos. Solange Nachrichten und Anrufe innerhalb von WhatsApp bleiben, sind sie standardmäßig Ende-zu-Ende-verschlüsselt. Gefährlich wird es, wenn ein Opfer auf eine externe Webseite gelenkt wird. Dort können technische Schwachstellen, präparierte Inhalte oder weitere Täuschungsschritte eingesetzt werden, um das Gerät anzugreifen.

Meta entdeckte außerdem, dass NSO Group Testkonten und Gruppen auf WhatsApp angelegt hatte. Diese Konten wurden nach Unternehmensangaben entfernt. Mit der Aktivität verknüpft waren folgende Domains:

• fr24cast[.]com
• ghazacast[.]com
• ikhwancast[.]com

Solche Domains sind typisch für gezielte Angriffe: Sie wirken oft thematisch plausibel, sollen Vertrauen erzeugen und dienen als Brücke zwischen Messenger-Kommunikation und externer Angriffsinfrastruktur.

Lange Vorgeschichte mit Pegasus

Der neue Vorfall steht in einer Reihe früherer Auseinandersetzungen. Bereits vor einem Jahr wurde NSO Group zu rund 168 Millionen US-Dollar Schadenersatz verurteilt. Ein Gericht in den Vereinigten Staaten hatte festgestellt, dass das Unternehmen gegen US-Gesetze verstoßen hatte, indem es WhatsApp-Server ausnutzte, um die Spionagesoftware Pegasus gegen mehr als 1.400 Personen weltweit einzusetzen.

Auch politisch ist NSO Group seit Jahren unter Druck. 2021 setzte das Handelsministerium der Vereinigten Staaten das Unternehmen auf eine Sperrliste, weil seine Aktivitäten den Interessen der nationalen Sicherheit oder der Außenpolitik der Vereinigten Staaten widersprächen.

Meta betont, dass persönliche Nachrichten und Anrufe der WhatsApp-Nutzer weiterhin durch standardmäßige Ende-zu-Ende-Verschlüsselung geschützt seien. Zugleich rät das Unternehmen, Apps und Geräte aktuell zu halten und verdächtige Aktivitäten zu melden, damit sie schnell untersucht werden können.

Strengere Einstellungen für gefährdete Nutzer

Besonders gefährdet sind Menschen, die wegen ihrer Arbeit oder Rolle Ziel anspruchsvoller Angriffe werden können, etwa Journalisten, Aktivisten, Anwälte, Regierungsmitarbeiter oder Menschenrechtsverteidiger. Für sie empfiehlt Meta strengere Kontoschutzeinstellungen. Diese Funktion reduziert die Angriffsfläche, indem sie Komfortfunktionen einschränkt und Sichtbarkeit begrenzt.

Die strengeren Einstellungen setzen unter anderem folgende Schutzmaßnahmen um:

• Zweistufige Verifizierung wird aktiviert.
• Linkvorschauen werden deaktiviert.
• „Zuletzt online“, Online-Status, Profilfoto, Infoangaben und Profillinks werden auf Kontakte oder eine vorher festgelegte Personenliste beschränkt.
• Nur bekannte Kontakte oder eine vorher festgelegte Personenliste können den Nutzer zu Gruppen hinzufügen.

Meta beschreibt diese Funktion als erweiterten Sicherheitsmodus: „Strenge Kontoeinstellungen sind eine optionale Schutzfunktion im Lockdown-Stil, die bei Aktivierung die Anfälligkeit für Cyberangriffe verringert, indem sie Funktionen begrenzt.“

Der Fall zeigt: Ende-zu-Ende-Verschlüsselung schützt Inhalte, aber nicht vor Täuschung. Wer auf externe Links gelockt wird, verlässt die geschützte Umgebung. Besonders gefährdete Nutzer müssen daher nicht nur ihre Kommunikation, sondern auch Konto und Gerät konsequent härten.