WhatsApp-oplichtingstruc: Account telefonisch gehackt? Zo zit het!

Vorige week schreven wij een artikel over een mogelijke nieuwe oplichtingstruc. Oplichters zouden via een simpel telefoontje in een handomdraai jouw WhatsApp-account kunnen hacken. De bron van het verhaal was op een aantal punten echter niet helemaal volledig, waardoor het ons nodig leek om het één en ander toch even te nuanceren. Maar honderd procent onmogelijk is het niet. Hoe zit dat?

Terug naar het artikel van vorige week. Daarin schreven we dat verschillende techblogs waarschuwden voor een nieuwe oplichtingstruc. Als jij een specifiek telefoonnummer belt, verlies je daarop direct de toegang tot jouw WhatsApp-account en gaan oplichters ermee aan de haal, zo was het verhaal dat door meerdere websites werd overgenomen.

Ons leek dat op deze manier echter niet helemaal waarschijnlijk, want na het bestuderen van de bron was er toch echt sprake van enkele onduidelijkheden op basis waarvan we vermoedden dat de vork in werkelijkheid iets anders in de steel zat. 

Artikel gemist? Lees 'm hieronder nog even terug. Dit artikel gaat verder na onderstaande link.

Het vermoeden dat het verhaal an sich wellicht iets te simpel werd voorgesteld, was voor het grootste deel juist: stellen dat je de toegang tot WhatsApp verliest door "het bellen naar een telefoonnummer" is een iets te eenvoudige voorstelling van zaken die geen recht doet aan het hele verhaal. Maar hoe zit het dan wél?

Vooropgesteld, de truc is tóch niet geheel ondenkbaar, en dat is gelijk de reden voor deze update. Het is namelijk mogelijk om oproepen automatisch door te laten schakelen naar andere telefoonnummers, en dat is waar deze truc om draait. De truc is in theorie dus mogelijk, maar er zitten dermate veel mitsen en maren aan dat de kans op slagen niet heel erg waarschijnlijk is.

Nederlandse providers bieden de mogelijkheid om oproepen door te laten schakelen. Dat gebeurt met behulp ven zogenaamde MMI-codes ("Man Machine Interface"). Hoe je het precies in moet stellen, is afhankelijk van je provider, maar in de basis komt het daarop neer.

Hieronder een voorbeeld, op deze website kun je voor alle providers checken hoe het werkt. Of raadpleeg de website van jouw provider:

• Bij geen gehoor toets je *61* gevolgd door het telefoonnummer waar de oproep naartoe moet
• Bij geen bereik toets je *62* gevolgd door het telefoonnummer waar de oproep naartoe moet
• Bij in gesprek toets je *67* gevolgd door het telefoonnummer waar de oproep naartoe moet
• Wil je alle oproepen doorschakelen? Dan toets je *21* gevolgd door het telefoonnummer waar de oproep naartoe moet

En dat is waar een behoorlijk stuk overtuigingskracht van de oplichter bij komt kijken. Diegene moet immers éérst contact met jou opnemen en moet jou er vervolgens nog maar van zien overtuigen om handmatig in te stellen dat oproepen die op jouw telefoon binnenkomen, automatisch worden doorgestuurd naar het mobiele nummer van de oplichter.

En die kans lijkt ons betrekkelijk klein, niet in de laatste plaats omdat je op je telefoon een melding krijgt van het doorschakelen. Ergens in dat proces moet er dan een belletje gaan rinkelen, al helemaal omdat het verzoek uit het niets komt en jij de oplichter niet kent. 

Maar goed, een kleine kans is niet hetzelfde als nul.

Heeft de oplichter jou eenmaal zo ver gekregen om alle oproepen naar diens telefoon door te laten schakelen? Dan probeert diegene jouw WhatsApp-account te verifiëren op een nieuw apparaat.

Dat gebeurt door een gesproken verificatiecode op te vragen bij WhatsApp. Dat kan als de gebruikelijke wijze van verificatie om de een of andere reden niet lukt, maar is wel gebonden aan een tijdslimiet.

Hieronder een voorbeeld van hoe dat er precies uit ziet. Het artikel gaat verder na onderstaande afbeelding.

En dit is hoe WhatsApp het zelf omschrijft:

"Als je de sms met de code niet hebt ontvangen, kan ons geautomatiseerde systeem je bellen met de code. Wacht tot de vijf minuten op de timer om zijn en bewerk je nummer niet gedurende deze tijd. Tik na de vijf minuten op Bel mij."

Deze oproep gaat normaal gesproken naar jouw telefoonnummer, en dan is er geen vuiltje aan de lucht. Maar je raadt het al: indien jij oproepen op verzoek van de oplichter laat doorschakelen, wordt óók deze oproep doorgeschakeld en belandt deze code dus bij de oplichter.

En daarmee neemt de kans toe dat kwaadwillenden in jouw account kunnen komen. Ook al krijg je wel meldingen op jouw telefoon als er pogingen worden geconstateerd om jouw WhatsApp-account aan een ander toestel te koppelen.

Het blijkt in theorie dus tóch mogelijk om op deze manier andermans WhatsApp-account te kunnen kapen, maar vanwege de vele stappen die de oplichter succesvol moet zetten, is het niet heel erg waarschijnlijk.

Slachtoffers moeten op verzoek van een vreemde namelijk zélf een telefoonnummer met een bepaalde prefix bellen, moeten vervolgens over het hoofd zien dat telefonische oproepen worden doorgeschakeld naar een ander nummer en moeten ook de meldingen missen over het koppelen van WhatsApp op een onbekend toestel.

Al met al zijn dat voor oplichters best een aantal hobbels om te overwinnen. Je moet als potentieel slachtoffer alleen wel actief en bewust je medewerking verlenen aan een enigszins ongebruikelijk verzoek, en dat maakt de kans klein dat het lukt.

Tot slot herhalen we nog maar eens een tip uit het vorige artikel. Schakel tweestapsverificatie in op WhatsApp en bescherm je account optimaal!

Bron: Bleeping Computer