Nieuwe WhatsApp-oplichtingstruc: Malware in valse voicemailberichten

Er is een nieuwe vorm van WhatsApp-oplichting opgedoken. Via valse e-mails krijgen mensen te horen dat er een WhatsApp-voicemail klaarstaat. Wie de link volgt om deze voicemail te beluisteren, loopt de kans malware te installeren. Het gaat om malware die onder andere inloggegevens zoals wachtwoorden kan stelen. Hoe herken je deze aanval? In dit artikel leggen we het uit.

WhatsApp biedt al enkele jaren de mogelijkheid om spraakberichten te versturen in plaats van geschreven berichten. Handig als je geen zin hebt om langere berichten uit te schrijven. En omdat een spraakbericht de nodige overeenkomsten vertoont met de ouderwetse voicemail, is dat voor oplichters een interessante invalshoek.

Die conclusie werd ook getrokken door het Amerikaanse cybersecuritybedrijf Armorblox, dat begin deze week voor deze nieuwe oplichtingstruc waarschuwde. Hoe gaat deze oplichtingstruc precies in zijn werk? In dit artikel leggen we het uit.

Het begint met een e-mail van WhatsApp Notifier met in de onderwerpregel "New Incoming Voicemessage", vrij vertaald "Nieuw voicemailbericht".

Qua huisstijl is gekozen voor de typische groene kleur die WhatsApp kenmerkt, uiteraard met als doel betrouwbaar over te komen. De mail ziet er als volgt uit:

Het artikel gaat verder na onderstaande afbeelding.

Volgens de beveiligingsonderzoekers wordt de mail niet geblokkeerd door de meeste spamfilters, omdat de oplichters het domein van de afzender zó hebben gespooft dat het lijkt alsof de mail van een betrouwbare, legitieme afzender komt: het lijkt er volgens Armorblox op dat de hackers zich daadwerkelijk toegang tot het domein van de afzender hebben weten te verschaffen.

Dat is een risico, want daarmee wordt de kans groter dat je denkt dat deze mail betrouwbaar is.

In de mail staan wat (verzonnen) details, zoals de datum waarop het bericht is ingesproken en de lengte. Ook staat er een groene knop met de tekst "Play" in de mail, oftewel "Beluisteren". Achter deze knop zit een link naar een valse website. Op deze pagina wordt geprobeerd om de malware in kwestie te installeren, al moet je daarvoor wel even bevestigen dat je geen robot bent.

De mededeling "Klik op Toestaan om te bevestigen dat je geen robot bent" verschijnt op je scherm, en als je dat doet, wordt de malware geïnstalleerd.

Het gaat hier om een zogenaamde infostealer, oftewel malware die in staat is om gevoelige inloggegevens zoals gebruikersnamen en wachtwoorden te stelen.

Daarnaast kunnen aanvallers via deze malware rondneuzen op jouw harde schijf en bestaat de kans dat de malware wordt gebruikt om cryptovaluta te stelen, mocht je daarover beschikken. Ook krijg je als gebruiker te maken met advertenties van malafide adverteerders, waardoor je een aanvullend risico loopt om opgelicht te worden.

Tot slot verwijst deze malware je via pop-ups ook nog naar andere varianten van malware, en wordt er reclame gemaakt voor websites met pornografisch materiaal. Reden genoeg om er ver bij uit de buurt te blijven dus.

Laten we beginnen met de meest voor de hand liggende aanwijzing: WhatsApp zelf stuurt nooit e-mails met de mededeling dat er een voicemail klaarstaat.

Technisch heet het ook helemaal geen voicemail, maar een spraakbericht, en van een spraakbericht krijg je via de app eenzelfde soort mededeling als wanneer je een geschreven bericht ontvangt. Een dergelijke e-mail namens WhatsApp is dan ook per definitie vals.

Techblog Bleeping Computer voegt daaraan toe dat het opvallend is dat het echte WhatsApp-logo niet te zien is in de valse mail. Zij zoeken de verklaring hiervoor in een functie die vorig jaar door Gmail is opgeleverd. Via dit zogenaamde Verified Mark Certificate (als het ware een echtheidscertificaat met betrekking tot logo's) kun je als eigenaar het gebruiks- en auteursrecht van een logo vastleggen. Daardoor wordt het moeilijker voor niet-rechthebbenden om jouw logo te misbruiken in valse e-mails.

Doorgewinterde internetgebruikers zullen niet zo snel in deze truc trappen, maar mensen met minder verstand van online veiligheid en mensen die digitaal minder vaardig en/of weerbaar zijn, lopen wel een risico om in deze oplichtingstruc te trappen. Door te wijzen op een voicemailbericht hopen ze jouw nieuwsgierigheid te prikkelen, en zo sporen ze je ertoe aan om iets te doen dat je beter kunt laten.

Krijg jij mails van 'WhatsApp' met de mededeling dat er een voicemail klaarstaat? Dan kun je deze mail direct verwijderen: deze mail is per definitie vals.

Bron: Armorblox, Bleeping Computer