Zo hacken oplichters uw WhatsApp-account: ‘Uw toestelregistratie verloopt, verifieer uw beveiligingsgegevens’
Oplichting via WhatsApp is schering en inslag, maar als oplichters uw échte WhatsApp-account weten te kapen, is de kans groot dat ze uw vrienden of familieleden daadwerkelijk een groot geldbedrag weten te ontfutselen. Als u even niet oplet, krijgen cybercriminelen in een handomdraai toegang tot uw account. Maar hoe werkt dat nou precies? En hoe schakel u tweestapsverificatie in om uw WhatsApp-account beter te beschermen?
‘Tuurlijk, daar trap ik niet in’, denk u wellicht. Toch overkomt het de beste, doorgaans in een moment van onachtzaamheid en onoplettendheid, en daarom is het toch zaak dat u weet hoe u dit soort pogingen herkent.
Saillant detail: uitgerekend vandaag werd bekend dat cybercriminelen er dit weekend in zijn geslaagd om meerdere WhatsApp-accounts van ambtenaren van de gemeente Den Bosch te hacken. Ze wisten eerst binnen te dringen in het account van het hoofd communicatie van de gemeente, en van daaruit legden ze contact met nog eens vijf of zes accounts van andere ambtenaren. De fraude werd dezelfde dag nog ontdekt, waarna de accounts zijn gereset en beter zijn beveiligd, aldus het hoofd communicatie van de gemeente maandag naar aanleiding van berichtgeving door Omroep Brabant.
‘Iemand wist op een op het eerste gezicht vertrouwenwekkende manier binnen te komen’, zei de woordvoerder. ‘Hij deed zich voor als een goede vriend en collega. Via mijn account wist hij vervolgens bij de accounts van enkele andere collega’s binnen te komen. Hij vroeg hen om geld, maar dat geloofde niemand’.
Hoe kunnen oplichters uw WhatsApp-account kapen?
Toeval of niet, Opgelicht?! krijgt signalen dat er afgelopen weekend weer flink wat sms-berichten uit naam van WhatsApp rondgingen met de mededeling dat uw toestelregistratie binnenkort verloopt. Om te voorkomen dat WhatsApp u account afsluit, moet u u gegevens nog eens verifiëren op een zogenaamd officiële website van WhatsApp.
In deze sms verwijzen oplichters naar het domein webwhapp.nl. Het domein is momenteel nog actief en is bovendien zelfs al bijna twee volle maanden in de lucht, wat een stuk langer is dan gebruikelijk. Ook nu is alle informatie over de eigenaar van het domein weer goed weggestopt, en daar is natuurlijk maar één reden voor: diegene heeft niet veel goeds in de zin.
Denk u u account te verifiëren? Eenmaal op de website – die er op het eerste gezicht best overtuigend uitziet – moet u een aantal stappen ondernemen:
- u moet u mobiele nummer doorgeven, vervolgens krijg u een sms-bericht ter verificatie;
- In deze sms staat een verificatiecode, die moet u doorgeven om het proces te voltooien
Gelukt? Dan zie u de mededeling dat de verificatieprocedure succesvol is afgerond. In werkelijkheid heeft u zojuist niet alleen u telefoonnummer bevestigd aan oplichters, u hebt ze ook een code gestuurd waarmee ze in combinatie met uw telefoonnummer op een ander toestel kunnen inloggen op uw WhatsApp-account.
In dat opzicht gaat het hier eigenlijk niet zozeer om het ‘hacken’ in traditionele zin, maar is er eerder sprake van phishing. Enfin, semantiek buiten beschouwing gelaten, hieronder zie u voorbeelden van het sms-bericht en van de stappen op de nagemaakte website van WhatsApp waar de oplichters u naartoe proberen te lokken.
