Het blijkt mogelijk om iemands WhatsApp-account over te nemen door het slachtoffer te overtuigen om een specifieke code op zijn of haar telefoon in te geven.
De truc is niet eenvoudig, maar ook niet onmogelijk voor ervaren manipulators. Het concept bestaat er in dat een slachtoffer wordt overtuigd om hun telefoongesprekken door te sturen naar een ander nummer. Eens dat gebeurt kan de dader een éénmalig wachtwoord ter verificatie opvragen via een telefoongesprek, om zo de account over te nemen.
De praktijk wordt bekend gemaakt door Rahul Sasi, ceo van beveiligingsbedrijf CloudSEK. Securitywebsite Bleeping Computer kon de praktijk testen en beschouwt ze als niet evident om uit te voeren, maar wel haalbaar mits wat moeite.
MMI code
In praktijk wordt je als slachtoffer opgebeld en overtuigd om een code in te geven op je telefoon. In praktijk is dat een MMI code die begint met een * of #, die zo het commando geeft om je telefoongesprekken door te sturen naar een ander nummer. De exacte code kan anders zijn van land tot land of van operator tot operator.
Eens dat gebeurt vraagt de aanvaller aan Whatsapp op zijn toestel een eenmalig wachtwoord aan voor jouw account. Die code komt per (geautomatiseerd) telefoongesprek ontvangt. Maar omdat telefoongesprekken worden doorgestuurd, komt die code bij de aanvaller terecht. Met die code wordt je WhatsApp account op je eigen toestel afgesloten en overgeplaatst naar het toestel van de aanvaller.
Waarschuwing
Bleeping Computer kon de praktijk met succes testen. De site nuanceert wel dat je als aanvaller de juiste code moet kennen, en dat het slachtoffer ook een melding krijgt dat telefoongesprekken worden doorgestuurd. De aanval gebeurt dus niet zonder dat je als slachtoffer iets merkt, maar tegelijk vraagt het geen technische hackingskills waardoor de praktijk door een breed publiek van oplichters kan worden toegepast.
Fout opgemerkt of meer nieuws? Meld het hier