Waarschuwing: zó proberen oplichters jouw WhatsApp-account te hacken

Gebruikers van WhatsApp zijn doelwit van een phishingcampagne. Oplichters proberen zo WhatsApp-accounts te hacken. Dat meldt antivirusbedrijf Kaspersky. Het doel van de oplichters is om toegang te krijgen tot bestaande WhatsApp-accounts en ze vervolgens over te nemen. Zo kunnen mensen uit andermans naam worden opgelicht.

Dat meldt Security.nl. Het is een oplichtingstruc die – indien succesvol – mogelijk verstrekkende gevolgen heeft. Hebben oplichters eenmaal toegang tot een bestaand WhatsApp-account? Dan kunnen ze contactpersonen vanuit dat account benaderen met bijvoorbeeld vragen om hulp of geld, waardoor de ontvangende partij veel sneller de indruk heeft dat het om een legitiem verzoek gaat.

Voortaan als eerste op de hoogte? Abonneer je op de Kassa-nieuwsbrief!

Oplichters beginnen hun poging om jouw WhatsApp-account te kraken met malafide websites waarop je kunt stemmen. Je kunt dan denken aan een korte, laagdrempelige peiling waarin bezoekers worden verleid om een stem uit te brengen op de keuze van hun voorkeur. Deze links kun je tegenkomen op social media of worden

Bezoekers worden op allerlei manieren aangespoord tot deelname, bijvoorbeeld in de vorm van tellers met actuele tussenstanden, het totale aantal deelnemers en natuurlijk ook verleidelijke knoppen waarmee je je stem uit kunt brengen. Allemaal verzonnen om de indruk te wekken dat er sprake is van een levendige peiling, waardoor verdere interactie wordt aangemoedigd.

Als voorbeeld worden peilingen met (bekende) atleten genoemd, maar antivirusbedrijf Kaspersky meldt dat de frauduleuze stemmodule óók kan worden toegepast op allerlei andere onderwerpen. De precieze aard en inhoud van zo'n malafide peiling kan dus per keer verschillen, het uiteindelijke doel blijft hetzelfde: men wil toegang krijgen tot jouw WhatsApp-account.

Heb je je stem eenmaal uitgebracht via zo'n malafide stempagina? Dan worden bezoekers allerlei prijzen van verschillende 'sponsoren' in het vooruitzicht gesteld. Wat ze wél even moeten doen, is hun stem verifiëren.

Deze 'verificatie' vindt plaats via WhatsApp. Om jouw stem 'snel en eenvoudig' te bevestigen, moet je het telefoonnummer invoeren dat je gebruikt voor WhatsApp. En daar gaat het mis.

Verreweg de meeste mensen gebruiken WhatsApp op hun telefoon. Maar je kunt WhatsApp óók gebruiken in je browser, zodat je vanaf je laptop of pc toegang hebt tot je WhatsApp-account en alle bijbehorende contacten en gesprekken. Daarvoor moet je WhatsApp wél eerst koppelen, maar dat is in een handomdraai geregeld.

Je kunt je WhatsApp-account aan vier verschillende apparaten tegelijkertijd koppelen. Dat werkt als volgt. Je gaat naar WhatsApp Web en je logt in via een QR-code (die je scant via WhatsApp) óf via een koppelcode (die je invoert in WhatsApp).

Dat ziet er als volgt uit (onderstaande schermafbeelding is van de échte WhatsApp-webversie):

Oplichters maken gebruik van de koppelcode om jouw WhatsApp-account te kunnen koppelen aan een pc of laptop in hun directe nabijheid, zodat ze toegang hebben tot jouw account. Dat werkt als volgt.

Gebruikers voeren het telefoonnummer dat ze gebruiken voor WhatsApp in op een valse website. Daarmee krijgen oplichters dat telefoonnummer in handen. Zij voeren dat telefoonnummer vervolgens in op de échte website van WhatsApp Web en krijgen vervolgens een échte koppelcode om het WhatsApp-account dat bij dat telefoonnummer hoort aan een ander apparaat te koppelen.

De valse website laat de nietsvermoedende bezoeker daarop de zojuist gegenereerde, échte koppelcode zien. De bedoeling is vervolgens dat de bezoeker deze code invoert in WhatsApp op zijn of haar telefoon, zogenaamd om de eerder uitgebrachte stem te bevestigen en in aanmerking te komen voor prijzen.

In werkelijkheid geven mensen op dat moment toestemming op WhatsApp te koppelen aan een ander – voor hen onbekend – apparaat, zoals een laptop of pc van de oplichters. En hebben ze op die manier eenmaal toegang tot een WhatsApp-account? Dan kunnen ze alle gesprekken lezen, nieuwe gesprekken starten of bestaande gesprekken voortzetten, en ze kunnen alle contactpersonen in WhatsApp gericht benaderen met verzoeken om geld of andere (hulp)vragen.

De kans op succes is groter dan gebruikelijk: als jij hierin meegaat, herkennen jouw contactpersonen jou als contactpersoon omdat de communicatie daadwerkelijk vanuit jouw account plaatsvindt. En daarom zijn ze minder snel geneigd het te wantrouwen.

Er zijn momenteel geen signalen dat dit soort oplichtingscampagnes specifiek gericht zijn op Nederlanders. Maar dergelijke oplichtingstrucs kunnen al snel grensoverstijgend zijn omdat ze eenvoudig zó in te richten zijn dat ze relevant zijn voor een bepaalde doelgroep. Er is dus géén sprake van een directe dreiging of gevaar, maar een gewaarschuwd mens telt voor twee en voorkomen is beter dan genezen.

Door het volgen van deze tips maak je de kans een stuk kleiner dat dit jou overkomt.

Dat doe je via Instellingen > Account > Verificatie in twee stappen. Daar stel je een pincode in die je periodiek moet invoeren om te bevestigen dat jij daadwerkelijk degene bent die toegang wil tot jouw WhatsApp-account

Dit soort codes zijn altijd privé. Officiële instanties vragen jou nooit om dit soort codes met ze te delen, en dat geldt al helemaal voor externe partijen die jou hiertoe proberen te verleiden door je bepaalde prijzen in het vooruitzicht te stellen.

Deze codes dienen als extra beveiligingslaag om te voorkomen dat derden toegang krijgen tot persoonlijke gegevens, daarom moet je deze nooit delen. En als je ze krijgt toegestuurd, moet je ze nooit zomaar ergens invoeren. Alléén als je er honderd procent zeker van bent dat het klopt.

Ken je een bepaalde website niet of vertrouw je de website niet? Voer er dan nooit persoonlijke gegevens in. En wees altijd op je hoede als er sprake is van mooie prijzen of andere beloningen. Klinkt het te goed om waar te zijn? Dan is dat met aan zekerheid grenzende waarschijnlijkheid ook zo.

Bron: Security.nl