Bei einem gezielten Phishing-Angriff am 6. März 2026 wurden die persönlichen WhatsApp-Konten eines australischen Bundesabgeordneten und dreier Mitarbeiter kompromittiert. Die Angreifer verwendeten eine einfache, aber effektive Methode: Sie lösten zunächst legitime Verifizierungscodes auf den Geräten der Opfer aus und kontaktierten diese dann, indem sie sich als vertrauenswürdige Kontakte ausgaben und nach diesen Codes fragten. Sobald diese weitergegeben wurden, verknüpften die Hacker die Konten mit ihren eigenen Geräten und erlangten so die volle Kontrolle über die Kommunikation. Der Vorfall wurde während einer Senatsanhörung am 25. Mai bestätigt, bei der Beamte des Department of Parliamentary Services (DPS) den Ablauf des Vorfalls detailliert schilderten.
DPS-Chefinformationsbeauftragter Mike Webb erklärte, dass das Angriffsmuster auf eine koordinierte Aktion eines ausländischen staatlichen Akteurs hindeutete. Die kompromittierten Konten waren privat, wurden aber auch auf DPS-verwalteten Geräten genutzt, was Alarm wegen plattformübergreifender Schwachstellen auslöste. Ziel der Angreifer war die Übernahme der Konten, was ihnen in allen vier Fällen gelang. Das DPS informierte umgehend die Australian Signals Directorate (ASD) und blockierte vom 9. bis 16. März vorübergehend den WhatsApp-Webzugriff im Parlamentsnetzwerk, um eine mögliche Ausbreitung einzudämmen.
Der Angriff stützte sich stark auf Social Engineering und nicht auf ausgefeilte technische Exploits. Phishing bleibt eine der effektivsten Cyberbedrohungen, da es die menschliche Psychologie ausnutzt. Die Hacker gaben sich als vertrauenswürdige Kontakte aus – möglicherweise sogar als andere Abgeordnete, deren Konten bereits kompromittiert waren –, um nach dem Verifizierungscode zu fragen. Dieser auf Vertrauen basierende Ansatz machte die Opfer eher bereit, nachzukommen. Sobald der Angreifer den Code eingab, verknüpfte WhatsApp automatisch sein Gerät und gewährte ihm vollen Zugriff auf Nachrichten, Medien und Kontaktlisten.
Diese Methode spiegelt Taktiken wider, vor denen Cybersicherheitsbehörden weltweit gewarnt haben. Im Jahr 2025 gaben das britische National Cyber Security Centre und die US-amerikanische Cybersecurity and Infrastructure Security Agency Hinweise heraus, die identische Phishing-Techniken gegen WhatsApp-Nutzer beschrieben. Der australische Angriff deutet darauf hin, dass diese Bedrohungsakteure aggressiver geworden sind und gezielt hochrangige politische Persönlichkeiten ins Visier nehmen. Der DPS-Beamte merkte an, dass die Angreifer offenbar Vorkenntnisse über die Netzwerke der Opfer hatten, was die Phishing-Nachrichten äußerst überzeugend machte.
Nach der Entdeckung des Vorfalls handelte das DPS schnell, um die Bedrohung einzudämmen. Sie blockierten WhatsApp-Webbrowser im Parlamentsnetzwerk – ein Schritt, der den Arbeitsablauf störte, aber weitere Kontokompromittierungen verhinderte. Die betroffenen Personen erhielten sofortige Unterstützung, und die ASD führte eine forensische Untersuchung durch. Nach dem Vorfall forderte das DPS alle Abgeordneten und Mitarbeiter auf, ihre Sicherheitseinstellungen zu überprüfen, die Zwei-Faktor-Authentifizierung zu aktivieren und vorsichtig zu sein, wenn sie Verifizierungscodes oder sensible Informationen über Messaging-Apps weitergeben.
Dieser Vorfall ist Teil eines größeren Musters von Cyberangriffen auf australische Regierungsstellen. Zwischen Juli 2025 und März 2026 erkannte das DPS 46 Malware-Vorfälle, fast 20.000 Phishing-Versuche und 1.458 Cyber-Warnungen. Die schiere Menge unterstreicht die anhaltende Bedrohung für politische Büros. Beamte betonten, dass Messaging-Apps wie WhatsApp zwar praktisch seien, aber nicht für hochsensible Kommunikation entwickelt wurden. Der Vorfall unterstreicht die Notwendigkeit robuster Cybersicherheitsprotokolle und kontinuierlicher Schulungen der Mitarbeiter.
Der Hacking-Vorfall zeigt kritische Schwachstellen bei der Nutzung persönlicher Geräte in sicheren Umgebungen auf. Politische Persönlichkeiten und ihre Mitarbeiter müssen eine sicherheitsorientierte Denkweise annehmen und jede unerwartete Anfrage nach Verifizierungscodes mit Misstrauen behandeln. Die Implementierung phishing-resistenter Authentifizierungsmethoden wie Hardware-Sicherheitsschlüssel kann eine zusätzliche Schutzschicht bieten. Regelmäßige Cybersicherheitsübungen können Mitarbeitern helfen, Phishing-Versuche zu erkennen und zu melden, bevor sie erfolgreich sind. Da sich Bedrohungen weiterentwickeln, bleiben kontinuierliche Anpassung und Wachsamkeit die beste Verteidigung, um sicherzustellen, dass selbst die vertrauenswürdigsten Kommunikationskanäle nicht zu Einfallstoren für ausländische Gegner werden.