GhostPairing: hoe jouw WhatsApp eenvoudig overgenomen kan worden
Je hoeft tegenwoordig geen wachtwoord te kennen om iemands WhatsApp over te nemen. Dat is de kern van een nieuwe aanvalsmethode die cybersecurityonderzoekers GhostPairing noemen. De aanval is slim, schaalbaar en treft dagelijks ondernemers die WhatsApp gebruiken voor klantencontact, leverancierscommunicatie en interne afstemming. En het begint met een berichtje van iemand die je vertrouwt.
Hoe GhostPairing werkt
De aanval begint meestal met een kort, informeel bericht van een bekend contact via WhatsApp, zoals "Hey, ik vond net jouw foto!" Het bericht bevat een link en ziet er volkomen onschuldig uit: geen vreemd telefoonnummer, geen lange uitleg.
Wie op de link tikt, belandt op een pagina die er uitziet als Facebook, met bekende kleuren, hetzelfde logo en een vertrouwde indeling. De pagina vertelt je dat je jezelf moet "verifiëren" om de foto te kunnen bekijken.
Wat daarna volgt is de kern van de aanval. De oplichters gebruiken het door jou ingevoerde telefoonnummer om een WhatsApp "device pairing"-verzoek in te dienen. WhatsApp genereert een koppelcode die op de neppagina wordt weergegeven, terwijl jij in WhatsApp zelf een officiële melding ziet om een nieuw apparaat te koppelen. Je voert de code in, in de veronderstelling dat het een standaard verificatiestap is.
In werkelijkheid heb je net de browser van de aanvaller als gekoppeld apparaat aan je account toegevoegd.
De aanvaller heeft nu toegang vergelijkbaar met WhatsApp Web op zijn eigen computer. Alles gebeurt binnen de grenzen van functies die WhatsApp zelf heeft ontworpen.
Wat de aanvaller daarna kan doen
Zodra het apparaat is gekoppeld, heeft de aanvaller volledige WhatsApp Web-toegang zonder verdere exploits. Hij kan gesynchroniseerde chats lezen, berichten in realtime ontvangen, media downloaden, gevoelige informatie verzamelen, slachtoffers imiteren en nieuwe lokaasberichten sturen naar contacten.
Het gevaarlijkste aspect: de toegang is aanhoudend. Anders dan bij traditioneel accountkapen waarbij de legitieme gebruiker wordt buitengesloten, kunnen aanvallers via GhostPairing gesprekken onopgemerkt observeren en informatie verzamelen, terwijl het slachtoffer gewoon normaal blijft appen.
Voor ondernemers betekent dit dat offertes, klantgegevens, betalingsafspraken, leverancierscontacten en interne bedrijfsinformatie die via WhatsApp zijn gedeeld, maandenlang kunnen worden meegelezen zonder dat je het weet.
Waarom dit zo effectief is
De aanval illustreert een subtiele verschuiving in hoe criminelen te werk gaan. In plaats van encryptie te breken of authenticatie te omzeilen, gebruiken ze het product precies zoals het is ontworpen en overtuigen ze gebruikers om op precies het juiste moment mee te werken.
De verspreiding verloopt via echte sociale verbindingen, niet via willekeurige spam. Elk gecompromitteerd account helpt onbewust mee aan het uitbreiden van de campagne, als een sneeuwbal. Dat maakt GhostPairing beduidend effectiever dan conventionele phishingcampagnes.
Cybersecuritybedrijf Gen Digital, eigenaar van onder meer Norton, Avast en AVG, ontdekte de campagne eind 2025 in Tsjechië. De onderliggende infrastructuur en templates zijn taalagnostisch, waardoor de methode eenvoudig herbruikbaar is in andere regio's. De verspreiding naar Nederland is daarmee een kwestie van tijd, zo niet al gaande.
Hoe je jezelf beschermt
Controleer je gekoppelde apparaten
Ga in WhatsApp naar Instellingen en tik op "Gekoppelde apparaten". Zie je daar een browser, laptop of apparaat dat je niet herkent? Verwijder het direct. Dit is de eerste stap als je vermoedt dat je account is gecompromitteerd.
Stel tweestapsverificatie in
Tweestapsverificatie in WhatsApp voegt een pincode toe die aanvallers niet kunnen instellen of wijzigen, wat de impact van andere overnamemethodes vermindert. Ga naar Instellingen, tik op Account en vervolgens op Twee-stapsverificatie. Kies een pincode die je nergens anders gebruikt.
Vertrouw geen verificatieverzoeken via links
Als een website je vraagt om een WhatsApp QR-code te scannen of een koppelcode in te voeren om content te bekijken, stop dan. WhatsApp-apparaatkoppeling hoort alleen te gebeuren wanneer jij zelf bewust een apparaat wilt toevoegen, niet omdat een willekeurige pagina daarom vraagt.
Lees meldingen in WhatsApp altijd goed
De melding die WhatsApp toont bij het koppelen van een nieuw apparaat vermeld dit expliciet. Wie gewend is snel door verificatieschermen te tikken zonder te lezen, loopt het grootste risico. Neem de tijd om te lezen wat er staat.
Waarschuw je contacten als je account is misbruikt
Als je slachtoffer bent geworden, waarschuw dan direct je WhatsApp-contacten dat je account mogelijk is misbruikt en dat ze geen links of verificatieverzoeken moeten aanklikken die van jou afkomstig lijken.
Trek daarna de toegang in via Instellingen en verwijder alle gekoppelde apparaten die je niet herkent. Hier lees je hoe je een gehackt account hersteld.
Voor ondernemers extra waakzaam
Als ZZP'er of ondernemer gebruik je WhatsApp niet alleen privé. Klantcontact, afspraken, factuurherinneringen, samenwerking met partners: veel loopt via WhatsApp. Dat maakt een gecompromitteerd account een zakelijk risico, niet alleen een persoonlijk ongemak.
Bespreek dit risico ook met medewerkers of samenwerkingspartners die WhatsApp zakelijk gebruiken. De techniek is niet beperkt tot één land of platform. Elke dienst die apparaatkoppeling via QR-codes of numerieke codes toestaat, is een potentieel doelwit voor soortgelijk misbruik.
Bij Financial Lease ZZP helpen we graag ondernemers, met tips zoals dit, maar liever nog met de aanschaf van hun volgende auto. Van auto- tot fiscaal advies. Bij ons kun je terecht. We hebben keuze uit meer dan 20 duizend auto's van geselecteerde Nederlandse autodealers en meer dan 200 duizend van Europese partners. Uitzoeken, aanvragen en rijden maar. Financial Lease ZZP, daar kom jij verder mee.