WhatsApp-accounts gekaapt: hoe voorkom je dat je slachtoffer wordt?

Enige tijd geleden raakte ik op de hoogte van een slimme truc waarbij WhatsApp-accounts worden gekaapt. In dit blog benoem ik deze vorm van kapen als een hack. De handelswijze bij deze hack is dat er een vreemd appje vanuit een van je contacten wordt verstuurd met de bedoeling dat jij geld overmaakt. Degene die het bericht verstuurt vanuit het account van een van je contacten, is zelfs bereid om met je te bellen.

WhatsApp hack

De afgelopen dagen hebben we meer gevallen in het nieuws gezien waarbij slachtoffers worden verleid om een verificatiecode door te geven aan de aanvaller. Slachtoffers bij deze hack hebben niets doorgegeven en toch wordt het account overgenomen. Hoe kan dit gebeuren? Ik vermoedde dat deze hack was uitgevoerd door gebruik te maken van Simswapping, ging op onderzoek uit en stuitte op een meer voor de hand liggende methode van hoe hackers op grote schaal WhatsApp-accounts kunnen overnemen. Niet alleen wil ik de menigte van WhatsApp-gebruikers hiervoor waarschuwen, het is ook een perfect voorbeeld van hoe werkende systemen misbruikt kunnen worden. Niet elke hack is technisch van aard en soms is het vrij simpel om deze uit te voeren.

Wat gebeurt er bij deze hack?

Een aanvaller heeft via voicemail toegang verkregen tot de code waarmee je een WhatsApp-account kunt registreren op een andere telefoon. Vervolgens stellen zij tweefactorauthenticatie (2FA) in op het account. Deze vorm van authenticatie, in dit geval een zescijferige code, zorgt ervoor dat je niet meer bij je account kunt. Vervolgens zijn de hackers de contactenlijst afgegaan met een duidelijke social engineering truc, inspelend op tijdsdruk dat men een flink geldbedrag nodig heeft en pas morgen bij de spaarrekening kan. Door de actieve houding van de hackers (door zelf te reageren) wordt de kans aanzienlijk groter dat mensen hierin trappen.

Hoe werkt het nu precies?

Het is mogelijk om WhatsApp te installeren op een ander apparaat en een 06-nummer toe te voegen. Je hebt hiervoor alleen het 06-nummer van het slachtoffer nodig. Voor de registratie van het account ontvangt het slachtoffer een sms met registratiecode. Die moet de hacker in handen zien te krijgen en dat blijkt soms een stuk gemakkelijker dan gedacht. Het is namelijk mogelijk om na een aantal pogingen aan te geven dat de code niet per sms binnenkomt, maar dat WhatsApp je belt en de code uitspreekt. Neem je de telefoon niet op, dan spreekt WhatsApp de code in op je voicemail en daar zit dan ook de truc.

Je kunt via een ander mobiel nummer de voicemail box van een ander openen, mits je de juiste pincode hebt. Veel mensen hebben een standaard of makkelijk te raden code voor hun voicemail box. Indien de hacker slaagt om de code te raden, luistert hij de voicemail af en voert de registratiecode in bij WhatsApp. Vervolgens stelt de hacker een 2FA code in die zes cijfers lang is. Hiermee wordt het onmogelijk om het account zonder die code nogmaals te registreren op je eigen telefoon.

In zes stappen komt het neer op:

  1. De aanvaller downloadt WhatsApp en registreert het nummer van zijn slachtoffer via de app;
  2. De aanvaller vraagt een verificatiecode aan en geeft aan deze niet ontvangen te hebben waardoor het slachtoffer wordt gebeld;
  3. Het slachtoffer neemt de telefoon niet op (aanval wordt dus bij voorkeur 's avonds of 's nachts uitgevoerd) en de code beland in de voicemail;
  4. De aanvaller logt in op de voicemail box door de code te raden indien deze zwak is;
  5. De aanvaller vult de verificatiecode in op WhatsApp en heeft het account overgenomen;
  6. De aanvaller stelt 2FA in, een code die je beschermt tegen dit soort overnames. In dit geval betekent dit dat het slachtoffer zonder die code niet meer in zijn of haar account komt.

Wat kun je tegen deze aanval doen?

Met een online zoekopdracht vind je al snel meerdere slachtoffers en blijkbaar voeren oplichters de truc nog steeds uit. Op het moment waarop ze een twee-factor-authenticatie instellen, ben je in principe je account kwijt. Er zijn voorbeelden waarbij men 7000 euro vraagt voordat je weer toegang krijgt tot je account. Een aantal belangrijke zaken:

  • Stel 2FA in op WhatsApp (zie afbeeldingen onder);
  • Stel een sterke pincode in voor je voicemail (zie links onder);
  • Android-gebruikers lopen het risico dat onbetrouwbare apps je sms’jes kunnen lezen, houd hier rekening mee.

WhatsApp 2FA

Wachtwoord instellen of wijzigen op voicemail:

Tweefactorauthenticatie (2FA) instellen op WhatsApp:

  • Stap 1: Ga naar ‘Settings’;
  • Stap 2: Ga naar ‘Account’;
  • Stap 3: Ga naar ‘Two-Step Verification’;
  • Stap 4: Stel je zescijferige code in;
  • Stap 5: Geef je e-mailadres op voor het geval je jouw persoonlijke code vergeet.

Conclusie

Het gaat hier niet om een nieuwe aanvalsmethode, maar wel één die onderbelicht is in de media. Veel gebruikers zijn niet op de hoogte van deze mogelijke combinatie om je WhatsApp-account beter te beschermen waardoor er nog steeds gedupeerden zijn. Geen reden tot paniek, maar wel actie vereist voor iedereen zonder tweefactorauthenticatie op WhatsApp en een sterke pincode op voicemail. Daarbij komt dat het overnemen van je WhatsApp vrij pijnlijk kan zijn vanwege de privacygevoelige informatie, maar ook qua imagoschade.