Nu este vorba despre instalarea de malware sau spargerea parolelor, ci despre o schemă de inginerie socială ce combină phishingul cu folosirea unei funcții legitime a aplicației WhatsApp.

Capcana se desfășoară în cinci pași bine definiți.

Pasul 1: Mesajul-capcană

Atacul începe cu un mesaj de phishing trimis de pe un cont WhatsApp deja compromis. De regulă, textul este scurt și aparent inofensiv, precum „Am găsit această poză cu tine…”, însoțit de un link.

Pentru că mesajul vine de la un contact cunoscut – prieten, rudă sau coleg – suspiciunea victimei este mult diminuată, iar șansele de a accesa linkul cresc considerabil.

Pasul 2: Fereastra falsă care imită Facebook

După accesarea linkului, utilizatorul este redirecționat către o pagină web simplă, care copiază vizual interfața Facebook: logo, culori și un buton de continuare sau verificare.

Deși adresa URL nu aparține Facebook, pagina creează impresia de legitimitate și induce un sentiment de urgență, sugerând că victima este la un pas de a vedea o fotografie neașteptată.

Pasul 3: Numărul de telefon, cheia de acces

Pentru a „continua”, pagina falsă solicită introducerea numărului de telefon asociat contului WhatsApp, prezentat ca o etapă obișnuită de verificare.

Odată completat, numărul ajunge la atacatori, care îl folosesc pentru a iniția procedura reală de conectare a unui dispozitiv nou în WhatsApp.

Aplicația generează astfel un cod de asociere, menit în mod normal să confirme identitatea proprietarului contului.

Pasul 4: Validarea codului de asociere

Codul generat de WhatsApp este afișat victimei pe site-ul fals, alături de instrucțiuni aparent sigure, de tipul „Introduceți acest cod în WhatsApp pentru a confirma și a vedea fotografia”.

Crezând că finalizează verificarea, victima introduce codul în aplicația WhatsApp, autorizând fără să știe conectarea unui nou dispozitiv controlat de atacatori.

Pasul 5: Contul este compromis

După validarea codului, dispozitivul hackerului devine oficial asociat contului victimei, funcționând ca un „dispozitiv fantomă”.

Contul compromis este apoi folosit pentru a răspândi aceeași schemă de atac către contactele victimei, procesul reluându-se de la primul pas și extinzând rapid frauda.

Acest acces îi permite să citească conversații, să primească mesaje noi și să trimită conținut în numele victimei, inclusiv mesaje noi de phishing către contactele și grupurile sale.

---