Cybercriminelen hebben een nieuwe manier gevonden om WhatsApp-accounts over te nemen, zonder wachtwoorden te stelen of codes te onderscheppen. Ze maken daarbij slim misbruik van een functie die eigenlijk bedoeld is om WhatsApp op meerdere apparaten te gebruiken.
De aanval, door beveiligingsonderzoekers GhostPairing genoemd, zorgt ervoor dat een aanvaller zijn eigen apparaat aan het WhatsApp-account van een slachtoffer kan koppelen. Dat geeft toegang tot gesprekken, foto’s en video’s, vaak zonder dat de gebruiker het meteen doorheeft, zo meldt Gen Digital.
Volgens beveiligingsbedrijf Gen Digital werd de campagne eerst opgemerkt in Tsjechië, maar niets wijst erop dat het bij één land zal blijven. Eenmaal een account is overgenomen, gebruiken aanvallers dat namelijk om nieuwe slachtoffers te maken.
De aanval begint met een kort bericht van iemand die je kent. Vaak staat er iets in de trant van: “Ben jij dit op de foto?” of “Kijk dit eens.” De link lijkt naar Facebook te verwijzen en toont zelfs een voorbeeldweergave, wat het extra geloofwaardig maakt. Wie klikt, komt terecht op een nagemaakte Facebook-pagina. Daar wordt gezegd dat je eerst moet ‘verifiëren’ om de inhoud te bekijken. In werkelijkheid wordt op dat moment het koppelingsproces van WhatsApp in gang gezet.
Het slachtoffer vult zijn telefoonnummer in, waarna WhatsApp een koppelcode genereert. Die code verschijnt op de valse website, terwijl WhatsApp tegelijk vraagt om diezelfde code in te voeren om een nieuw apparaat te koppelen. Hoewel WhatsApp daarbij duidelijk vermeldt wat er gebeurt, lezen veel mensen daar overheen, zeker als ze denken snel een foto te bekijken.
Zodra de code wordt ingevoerd, krijgt de aanvaller toegang via WhatsApp Web. Dat betekent: live meelezen met gesprekken, gedeelde media downloaden en berichten versturen alsof hij het slachtoffer zelf is. Vaak wordt hetzelfde lokbericht meteen doorgestuurd naar contacten en groepschats. Volgens Gen Digital is dat net wat deze aanval zo verraderlijk maakt. “Veel mensen hebben niet door dat er een extra apparaat is gekoppeld. Criminelen zitten letterlijk mee te kijken, zonder sporen achter te laten”, klinkt het.
Wie vermoedt dat er iets niet klopt, kan dat zelf nakijken. In WhatsApp ga je naar Instellingen en vervolgens naar Gekoppelde apparaten. Zie je daar een sessie die je niet herkent, dan kan je die meteen verwijderen. Verder blijft het klassieke advies gelden: meld verdachte berichten, activeer tweestapsverificatie en laat je niet opjagen. Krijg je een bericht dat je onder druk zet om snel te klikken of iets in te voeren, neem dan net extra tijd. Het koppelen van apparaten bestaat trouwens ook bij andere chatapps. Vergelijkbare technieken zijn in het verleden al misbruikt bij aanvallen op onder meer Signal-accounts.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
