WhatsApp-gebruikers zijn het doelwit van een phishingaanval waarbij slachtoffers worden verleid om de browser van een aanvaller toegang tot hun account te geven. Dat laat antivirusbedrijf Kaspersky weten. De aanval begint met een link naar een website waar men zogenaamd op iets kan kiezen, bijvoorbeeld tussen twee atleten. Wanneer gebruikers op de stemknop klikken verschijnt er een pagina die om autorisatie via WhatsApp vraagt.

Gebruikers moeten als eerste hun telefoonnummer opgeven. De aanvallers gebruiken dit telefoonnummer om bij de webinterface van WhatsApp een code aan te vragen. Deze code wordt vervolgens aan het slachtoffer getoond. Dat krijgt daarbij de instructies om de code bij de gekoppelde apparaten in WhatsApp in te vullen. Wanneer het slachtoffer dit doet krijgt de aanvaller via WhatsApp Web toegang tot het account en chatgesprekken van het slachtoffer.

"We zien dat online wedstrijden waarbij gestemd kan worden nu zeer populair zijn, en dit wordt gebruikt door aanvallers die vertrouwen in deze onschuldig lijkende activiteit misbruiken. Door social engineering met overtuigende fake interfaces te combineren maken aanvallers misbruik van user engagement om gevoelige data te stelen", aldus Kaspersky. WhatsApp adviseert om geregeld te controleren welke apparaten gekoppeld zijn. Daarnaast raadt Kaspersky aan om nooit verificatiecodes voor WhatsApp te delen.