WhatsApp-Enkeltrick mit ChatGPT — so wird die Masche 2026 wirklich gebaut

Der Anruf bei meiner Mutter

Vor drei Wochen hat meine Mutter eine WhatsApp-Nachricht bekommen. "Hallo Mama, das ist meine neue Nummer, mein altes Handy ist ins Wasser gefallen. Bitte speichere die und lösch die alte." Sie hat es getan. Eine Stunde später kam die Bitte: "Kannst du mir kurz 480 Euro überweisen, Reparatur und neuer Vertrag, ich zahl's morgen zurück."

Sie hat bei mir angerufen bevor sie überwiesen hat. Eine Frage: "Hast du ein neues Handy?" Ich: "Nein." Das war die Rettung.

Die Masche ist nicht neu. Aber sie hat sich 2026 massiv professionalisiert. Und die deutschen Behörden tun sich schwer, das Tempo mitzuhalten. Dieser Artikel erklärt wie die Masche aktuell gebaut ist — damit du deine Eltern schützen kannst.

Wie der Angriff 2026 wirklich aufgebaut ist

Ich habe die Pipeline in meinem eigenen Setup nachgestellt. Alle Tools sind legal käuflich. Der ganze Aufbau kostet einen Angreifer etwa fünf Stunden Arbeit und etwa dreißig Euro Tool-Kosten. Für Erfolgsquoten die dreistellige Euro-Beträge pro Opfer einbringen ist das absurd rentabel.

Die Pipeline hat fünf Schritte.

Schritt 1 — Ziel-Recherche mit ChatGPT plus LinkedIn

Der Angreifer sucht auf LinkedIn nach deutschen Beschäftigten zwischen 45 und 65. Dann benutzt er ChatGPT oder Claude um aus dem LinkedIn-Profil zusätzliche Info-Ebenen zu extrapolieren:

"Hier ist das LinkedIn-Profil von [Name]. Basierend darauf, welche Familienstruktur ist wahrscheinlich? Wie viele Kinder hat die Person schätzungsweise? Welche Altersspanne haben die Kinder? Gib mir eine plausible Familien-Beschreibung."

Die KI produziert plausible Vermutungen. Die müssen nicht stimmen — sie müssen nur glaubwürdig genug sein um beim Opfer auf Resonanz zu stoßen.

Schritt 2 — Die erste Nachricht — personalisiert und plausibel

ChatGPT bekommt den nächsten Prompt:

"Schreib eine WhatsApp-Nachricht eines erwachsenen Sohnes an seine Mutter. Er hat ein neues Handy. Ton: leicht gehetzt aber warm, typisch deutsche Familiensprache, keine Übertreibungen, zwei kleine Tippfehler die menschlich wirken."

Das Ergebnis ist beunruhigend gut. Keine übertriebenen Ausrufezeichen, keine offensichtlichen Übersetzungs-Holper, keine komischen Formulierungen. Genau so wie dein Sohn schreiben würde. Mit einem "kannste" statt "kannst du", einem verschluckten Komma.

Schritt 3 — Der Nummern-Swap

Die "neue Nummer" kommt meistens aus Osteuropa oder Großbritannien. Manche Anbieter verkaufen solche Nummern anonym, einige Monate lauffähig, dann wird geswapt. Kostet den Angreifer zwei bis fünf Euro pro Woche.

Die Nummer hat oft einen WhatsApp-Account mit einem unverdächtigen Profilbild (eine Blume, ein Sonnenuntergang, irgendwas Nichtssagendes). Das Opfer speichert die Nummer, die Beziehung zum WhatsApp-Account scheint etabliert.

Schritt 4 — Die Bitte — mit dosiertem Zeitdruck

Ein paar Stunden später kommt die Geld-Bitte. Hier setzt ChatGPT die Dramaturgie:

"Schreibe die zweite Nachricht. Sohn muss kurzfristig Geld überwiesen bekommen (etwa 400-600 Euro). Story: Handy-Vertrag im neuen Shop, Karte wird nicht akzeptiert, er muss sofort zahlen damit er nicht wieder losgehen muss. Verspricht Rückzahlung am Abend. Ton: leicht genervt über die Situation, nicht überdramatisch, nicht flehend."

Das Ergebnis ist auf die Beziehungsrealität einer deutschen Familie kalibriert. Kein "ich sterbe wenn du nicht überweist" — sondern "sorry dass ich nerve aber kannst du kurz".

Schritt 5 — Der Payment-Flow

Die IBAN ist meistens deutsch (gekauft oder gemietet, oft mit Mule-Accounts). Vom deutschen Konto wird innerhalb von Minuten ins Ausland weitergeleitet. Wenn die Meldung kommt, ist das Geld weg.

Manche Angreifer nutzen auch Instant-Payment via Handy-Nummer (PayPal, Wero) — das ist noch schwerer rückgängig zu machen weil die Zielnummer nicht mal eine Kontenverbindung sein muss.

Warum die alten Schutzmechanismen nicht mehr greifen

Die Polizeiliche Kriminalprävention hat jahrelang geraten: "Achte auf merkwürdige Formulierungen, Rechtschreibfehler, unpersönliche Grüße."

Das funktioniert nicht mehr. KI macht keine Rechtschreibfehler es sei denn sie soll. Sie kennt familientypische Ansprache. Sie passt den Ton an. Wer sich auf die klassischen Warnsignale verlässt, wird getäuscht.

Was tatsächlich schützt

Drei Regeln. Einfach. Muss deine Mutter und dein Vater kennen.

Erstens: Bei jeder Geld-Bitte per Nachricht: zurückrufen. Nicht die Nummer die in der Nachricht steht. Die gespeicherte Nummer aus dem eigenen Adressbuch, die du seit Jahren kennst. Wenn die Person ans Telefon geht und sagt "hä, was für eine neue Nummer?" — Masche aufgedeckt.

Zweitens: Das Familien-Codewort. Drei Silben, sinnlos, nur mündlich ausgetauscht. Beispiel: Papa-Finka-Regal. Bei jeder ungewöhnlichen Geld-Anfrage wird das Codewort abgefragt, auch wenn es komisch ist. Der Angreifer kennt das Codewort nicht. Punkt.

Drittens: Ruhe. Zeitdruck ist die Waffe des Angreifers. Jede Nachricht die Druck aufbaut ("schnell", "sofort", "heute") sollte einen Alarm auslösen. Echte Kinder warten notfalls zwei Stunden.

Was deine Eltern konkret tun sollten

Ich hab das mit meiner Mutter durchgesprochen nach dem Vorfall. Hier die konkrete Handlungsanweisung die sie sich ins Notizbuch geschrieben hat:

1. Nachricht von neuer Nummer, angeblich vom Kind? Nichts speichern, nichts antworten. Erst die alte bekannte Nummer anrufen.
2. Geld-Bitte aus WhatsApp? Zurück-Anruf auf bekannte Nummer. Keine Ausnahme, auch wenn's dringend wirkt.
3. Die Person nimmt nicht ab? Liste der Familien-Kontakte durchgehen. Ein Geschwister, ein Partner — einer weiß wo der gesuchte ist.
4. Wenn alles nichts hilft: polizei anrufen bevor du Geld überweist. Die Präventionsstellen haben Erfahrung, können schnell einordnen.

Das klingt einfach, aber "ruhig bleiben wenn dein Kind in Not ist" ist nicht intuitiv. Deswegen sollte die Regel schon vor dem ersten Vorfall besprochen werden.

Was Banken tun (und was sie besser tun sollten)

Einige deutsche Banken haben inzwischen Betrugs-Hotlines für ältere Kunden. Sparkasse, Volksbank, Commerzbank. Wenn ein ungewöhnliche Überweisung ausgelöst wird, kann man innerhalb von 24 Stunden reklamieren — manchmal wird das Geld noch gestoppt.

Was fehlt: Proaktive Warnungen in der Banking-App. Wenn eine Überweisung an eine IBAN geht die vom Empfänger noch nie benutzt wurde, sollte die App nachfragen. Einige Online-Banken machen das, die meisten Filialbanken nicht. Das ist ein realer Versäumnis — Banken haben alle Daten dafür.

Die ehrliche Einschätzung

Der WhatsApp-Enkeltrick wird 2026 nicht weniger. Die Qualität der Angriffe wird weiter steigen. Und irgendwann — wahrscheinlich 2027 — kommt die nächste Stufe: Voice-Anrufe mit geklonter Stimme des Kindes statt nur Text-Nachrichten. Dann wird selbst das Zurück-Anrufen nicht mehr automatisch helfen.

Die einzige Konstante die wirklich schützt: Abgesprochene Prozesse in der Familie. Codewort, Call-Back-Pflicht, Ruhe bei Zeitdruck.

Setz dich an diesem Wochenende mit deinen Eltern hin. Fünfzehn Minuten. Das kann teure Fehler verhindern.

Weiterlesen

Verwandte Bedrohung mit gecloner Stimme: CEO-Fraud per Voice-Cloning. Für den breiteren Privacy-Kontext: FritzBox-Audit. Alle Security-Themen im Pentesting-Pillar.

Eigener Fall im Umfeld? Diskussion im Discord, Zone "Hacking & Security" — da besprechen wir solche Fälle konkret und sammeln Muster.