ولتنفيذ الهجوم، يحاول المهاجمون تثبيت تطبيق "واتساب" على هاتفهم باستخدام رقم هاتف مستخدم شرعي، يحاول التطبيق التحقق من محاولة تسجيل الدخول عن طريق إرسال رمز تحقق مكون من ستة أرقام عبر رسالة نصية إلى هاتف الضحية.
ويحاول المتسللون القيام بذلك عندما لا يكون الضحية يفحص هاتفه، في الليل مثلا. وبما أنّ "واتساب" يمنح المستخدمين خيار إرسال الرمز المكون من ستة أرقام عبر مكالمة هاتفية برسالة تلقائية، ونظراً لأن المستخدم لا يفحص هاتفه بهذا الوقت على الأرجح، فإن الرسالة تنتقل بشكل تلقائي إلى بريده الصوتي.
عندها، يستغل المخادع عيباً أمنياً في العديد من شبكات الاتصالات، ويدخل كلمة مرور، ما يتيح له الوصول إلى البريد الوارد للبريد الصوتي للضحية، ويسمح له بالاستماع إلى الرسالة المسجلة مسبقاً من "واتساب"، والتي تحوي الرمز المكون من ستة أرقام.
وبعدها يدخل القراصنة هذا الرمز إلى أجهزتهم الخاصة، مما يتيح لهم الوصول الكامل إلى حساب "واتساب" الضحية.
ومما يزيد الطين بلة، أن القراصنة يمكنهم إنشاء مصادقة من عاملين لحساب "واتساب"، والذي يتطلب من المستخدمين إدخال رمز PIN فريد إذا كانوا يريدون إعادة التحقق من رقم هاتفهم. هذا يمنع الضحية من استعادة السيطرة على رقم الهاتف الخاص بهم.
وحذر مسؤولون أمنيون من أن وتيرة الهجوم قد تصاعدت في الأسابيع الأخيرة، ويوصون المستخدمين بتشغيل المصادقة الثنائية في حساباتهم، مما يضيف طبقة إضافية من الأمان إلى حسابك.
يمكن للمستخدمين إجراء ذلك من خلال الانتقال إلى الإعدادات في "واتساب"، ثم النقر على "الحساب"، ثم انتقل إلى عنوان "التحقق بخطوتين" وانقر على "تمكين".
علاوة على ذلك، يقول الخبراء إنه يجب على المستخدمين التأكد من امتلاكهم لرقم PIN قوي في صندوق البريد الوارد الخاص بهم.