Door 3,5 miljard gegevens van WhatsApp staan miljoenen Amerikanen bloot aan oplichting

Een nieuw onderzoek van de Universiteit van Wenen heeft iets bevestigd waarvan elke Amerikaanse WhatsApp-gebruiker hoopte dat het nooit zou gebeuren. Criminelen kunnen nu identificeren welke telefoonnummers actief zijn geregistreerd op WhatsApp en ze matchen met openbare profielfoto's en About-statussen. Dat zijn 137 miljoen bevestigde accounts in de VS die plotseling in kaart zijn gebracht, gelabeld en klaar voor uitbuiting.

En als 44 procent van deze accounts een openbare profielfoto en 33 procent een openbare About-tekst heeft, worden de gegevens een goudmijn voor oplichters. Een geldig nummer plus een gezicht plus een vleugje persoonlijk detail is alles wat een crimineel nodig heeft om geraffineerde social engineering-aanvallen uit te voeren.

Hieronder staat wat dit vandaag de dag betekent voor Amerikaanse gebruikers.

In een notendop:

- Van 137 miljoen Amerikaanse WhatsApp-nummers is bevestigd dat ze actief zijn.
- 44 procent vertoonde openbare profielfoto's en 33 procent had openbare Over teksten
- Deze gegevens vormen de voedingsbodem voor het verwisselen van simkaarten, oplichtingspraktijken en gerichte phishing.
- Het maakt ook politieke micro-targeting en surveillance mogelijk.
- Gebruikers in de VS moeten WhatsApp beveiligen, SIM-rechten vergrendelen en openbare profielgegevens verbergen.

Welke financiële risico's brengt dit lek met zich mee?

Het verwisselen van simkaarten is al een miljardenprobleem in de VS. Deze nieuwe vondst van bevestigde telefoonnummers geeft criminelen een angstaanjagende voorsprong.

Een oplichter heeft maar twee dingen nodig om zich als jou voor te doen als hij AT&T, T Mobile of Verizon belt. Een werkend telefoonnummer en een overtuigend persoonlijk detail.
Het lek biedt beide.

Met een nummer waarvan is bevestigd dat het actief is op WhatsApp, plus een profielfoto en een korte About-tekst die aanwijzingen bevat zoals een voornaam of stad, klinken criminelen geloofwaardiger voor medewerkers van de klantenservice. Zodra ze een provider hebben overtuigd om je nummer naar hun simkaart over te zetten, hebben ze controle over je gesprekken en sms'jes. Dat geldt ook voor sms-gebaseerde bankcodes, crypto account 2FA en het resetten van wachtwoorden.

Binnen enkele minuten kunnen aanvallers rekeningen leeghalen en slachtoffers volledig blokkeren.

Hoe kan dit leiden tot oplichting door imitaties?

Omdat scammers niet meer hoeven te raden. Ze weten al dat je nummer echt is.

Door je profielfoto en naam te kopiëren en contact op te nemen met je vrienden met berichten als "Hé, ik ben het, ik ben van nummer veranderd", kunnen aanvallers ongelooflijk overtuigende WhatsApp-oplichting opzetten.

Voorbeeld van een oplichtingsbericht

Verzoeken om dringende hulp, snelle geldoverschrijvingen of "Ik heb je verificatiecode nodig" worden veel geloofwaardiger als ze van een bekend gezicht komen.

En het wordt nog erger. Amerikaanse telefoonnummers in dit lek kunnen worden vergeleken met oude inbreuken zoals het Facebook-schrapincident uit 2021. Een oplichter kan je WhatsApp-foto combineren met je volledige naam, e-mailadres of woonplaats, vervolgens van kanaal veranderen en je via sms of e-mail aanvallen met een zeer gepersonaliseerde phishingpoging.

Creëert dit politieke of bewakingsrisico's?

Helaas wel. In een verkiezingsjaar in de VS worden bevestigde actieve nummers een krachtig doelwit.

Politieke groeperingen of buitenlandse actoren kunnen gesegmenteerde databases maken van miljoenen geverifieerde WhatsApp-gebruikers. Ze kunnen op maat gemaakte desinformatie rechtstreeks in privéchats pushen, vooral in belangrijke staten. De virale doorstuurstructuur van WhatsApp maakt dit extreem effectief op grote schaal.

Zelfs instanties die activisten of journalisten in de gaten houden, kunnen deze bevestigde nummers gebruiken om vast te stellen of een specifieke persoon WhatsApp gebruikt en zelfs welk besturingssysteem hij of zij gebruikt. Metadata zijn klein maar ongelooflijk krachtig.

Wat moeten gebruikers in de VS nu doen?

Het goede nieuws is dat je de meeste van deze kwetsbaarheden kunt dichten met een paar wijzigingen.

Tweestapsverificatie inschakelen op WhatsApp
Open WhatsApp-instellingen, Account en Tweestapsverificatie en maak een pincode van zes cijfers aan. Dit voorkomt dat iemand je nummer elders kan registreren, zelfs na een SIM-ruil.

Vergrendel je mobiele-provideraccount
Bel je provider en voeg een Port Out PIN of hoogbeveiligd wachtwoord toe. Dit maakt ongeoorloofde SIM-ruil aanzienlijk moeilijker.

Verberg uw openbare profielgegevens
Stel je profielfoto, Over en Laatst gezien in op Mijn contacten of Niemand. Zo verwijder je het sociale bewijs waar criminelen op vertrouwen.

Lees onze gids over hoe je je WhatsApp-account kunt herstellen.

FAQs
Hoe kwamen aanvallers aan de 137 miljoen telefoonnummers in de VS?
Onderzoekers gebruikten opsommingstechnieken om te bevestigen welke nummers actief waren op WhatsApp. Ze hebben geen encryptie verbroken, maar openbaar zichtbare metadata in kaart gebracht.

Betekent dit dat WhatsApp-berichten openbaar zijn?
Nee. Berichten blijven end-to-end versleuteld. Het risico komt van bevestigde telefoonnummers en openbare profielgegevens.

Is elke Amerikaanse WhatsApp-gebruiker getroffen?
Alleen nummers die actief waren en openbaar zichtbare gegevens hadden. Maar de schaal is groot genoeg om voor iedereen van belang te zijn.

Kan dit leiden tot diefstal van bankrekeningen?
Ja. SIM-swaps die mogelijk worden gemaakt door bevestigde nummers en persoonlijke gegevens, kunnen criminelen toegang geven tot bankcodes op basis van sms.

Moet ik stoppen met het gebruiken van WhatsApp?
Niet noodzakelijk. Maar je moet de privacy-instellingen aanscherpen en onmiddellijk tweefactorbeveiliging inschakelen.

Hoe blijf ik oplichting zoals deze voor?
Installeer de ScamAdviser-app voor realtime waarschuwingen, scamcontroles en praktische beschermingstips die zijn afgestemd op actuele bedreigingen.