6min Security

WhatsApp-gebruikersnamen zijn nieuw doelwit voor zakelijke fraude

IT-teams moeten nu al in actie komen

WhatsApp-gebruikersnamen zijn nieuw doelwit voor zakelijke fraude

Binnenkort introduceert WhatsApp de mogelijkheid om een unieke gebruikersnaam te kiezen. Hoewel dit voor consumenten een handige privacyfeature lijkt, brengt het voor de zakelijke markt serieuze risico’s met zich mee: van identiteitsdiefstal tot geavanceerde phishing. IT-managers en security-officers moeten dan ook nu al een strategie bepalen om zich hierop voor te bereiden.

Tot nu toe was een geverifieerd telefoonnummer de enige ’toegangspoort’ tot een chatgesprek. Die drempel verdwijnt dus binnenkort. Vanaf dan kunnen gebruikers elkaar vinden op basis van een gekozen naam, iets dat al langer het geval is op platforms zoals Telegram of X. Voor de zakelijke markt creëert dit een compleet nieuw aanvalsoppervlak waar security-teams op moeten anticiperen.

Verschuiving naar formele B2B- en B2C-communicatie

De noodzaak voor een strakke security-strategie wordt versterkt door de rol die WhatsApp tegenwoordig inneemt. De chat-app is allang geen pure consumenten-app meer. Zo wordt het platform in de zakelijke wereld steeds actiever omarmd. Organisaties zetten het massaal in voor B2C-doeleinden, zoals laagdrempelige klantenservices, marketingcampagnes en geautomatiseerde notificaties.

Tegelijkertijd verschuift ook het B2B-contact vaker naar de chatdienst, waarbij salesreporters, consultants en partners snelle updates via deze weg uitwisselen. De introductie van gebruikersnamen maakt het platform gevoelsmatig nog formeler en toegankelijker, omdat de noodzaak om een persoonlijk of direct mobiel nummer te overhandigen volledig wegvalt. Juist doordat WhatsApp uitgroeit tot een officieel zakelijk communicatiekanaal, worden de bijbehorende beveiligingsrisico’s groter.

‘Username Squatting’ en merkmisbruik

Het grootste en meest acute risico bij de uitrol is username squatting. Zodra de functie echt live gaat, ontstaat er vast en zeker een run op herkenbare namen. Als een kwaadwillende erin slaagt om de naam van een bekend bedrijf, een specifiek merk of een overheidsinstantie te claimen, ligt merkmisbruik direct op de loer.

Het is nog onduidelijk in hoeverre moederbedrijf Meta geautomatiseerde filters gaat inzetten om bekende merknamen te beschermen. Of het mogelijk wordt voor organisaties om achteraf hun naam terug te vorderen is ook nog de vraag, maar dat zal vast en zeker mogelijk zijn. Momenteel is de gedachte simpelweg nog: ‘wie het eerst komt, wie het eerst maalt’ en dat maakt een defensieve registratie voor veel organisaties noodzakelijk.

Spear-phishing en social engineering 2.0

Daarnaast tillen gebruikersnamen het risico op spear-phishing en social engineering naar het zakelijke domein. WhatsApp is in Europa al jaren een populair kanaal voor cybercriminelen, maar de fraude kan dankzij de gebruikersnaam zomaar een stuk geraffineerder worden. Zo kan een aanvaller bijvoorbeeld een gebruikersnaam claimen die sterk lijkt op die van een directielid, zoals de bedrijfsnaam gevolgd door de term CEO. Dit om vervolgens medewerkers te benaderen met een dringend verzoek. Omdat er geen onbekend telefoonnummer meer boven de chat staat, is de visuele controle voor de eindgebruiker een stuk lastiger geworden.

Ditzelfde risico geldt voor helpdesk-phishing, waarbij accounts met namen als IT-Support of Verificatie worden ingezet om inloggegevens of MFA-tokens afhandig te maken van medewerkers of klanten. Omdat WhatsApp door veel mensen als een vertrouwd en semi-privé kanaal wordt gezien, ligt de fraudedrempel hier vaak gevaarlijk laag.

Buiten de directe security-dreigingen zorgt de update ook voor uitdagingen rondom schaduw-IT en data governance. Veel organisaties worstelen al met het informele gebruik van WhatsApp op de werkvloer. De komst van gebruikersnamen maakt het voor medewerkers nog laagdrempeliger om even snel contact te leggen met zakelijke relaties zonder hun privénummer te hoeven delen.

Hoewel dit vanuit privacy-oogpunt positief klinkt, vergroot het de controleproblemen voor de IT-afdeling. Zakelijke afspraken of privacygevoelige gegevens die via persoonlijke accounts worden gedeeld, onttrekken zich immers volledig aan het zicht en de compliancy-richtlijnen van de organisatie.

Lees ook: Nieuwe WhatsApp-malwarecampagne kaapt systemen

Extra stap beveiliging is opt-in

Dat Meta zich bewust is van deze nieuwe frauderisico’s, blijkt uit een ingebouwde tegenmaatregel die het platform heeft geïntroduceerd: de gebruikersnaamcode. Gebruikers kunnen een soort pincode of geheime sleutel aanmaken die gekoppeld is aan hun gebruikersnaam. Wanneer een onbekend contact (of een kwaadwillende) via de gebruikersnaam een chat wil starten, dwingt WhatsApp hen om eerst deze code in te voeren. Zonder de juiste cijfercombinatie blijft de digitale deur gesloten en is chatten niet mogelijk.

Hoewel dit in theorie een sterke drempel opwerpt tegen ongewenste benadering en geautomatiseerde spam, kleeft er vanuit IT-security-oogpunt een enorm nadeel aan. De functie staat standaard namelijk uitgeschakeld en moet door gebruikers zelf worden ingeschakeld. WhatsApp kiest er expliciet voor om het platform niet secure-by-default in te richten. De standaardinstelling staat op ‘Iedereen’, wat betekent dat iedereen met je kan chatten, na het invoeren van de gebruikersnaam.

Om de extra beveiligingslaag te activeren, moeten gebruikers zelf in de privacy-instellingen duiken via Instellingen > Account > Gebruikersnaam > Neem contact op met mij via mijn gebruikersnaam en de voorkeur handmatig wijzigen naar ‘Mensen die mijn code kennen’. Het feit dat zo’n cruciale privacyfeature achter een handmatige opt-in zit, is voor een zakelijke context op zijn zachtst gezegd kwalijk. Het betekent dat IT-afdelingen niet kunnen vertrouwen op de basisbeveiliging van de app.

Niets doen als veiligste optie

Gelukkig is er ook een pragmatische ontsnappingsroute voor security-teams. De introductie van gebruikersnamen is namelijk volledig optioneel. Gebruikers zijn dus niet verplicht om een handle aan te maken. Who de optie simpelweg negeert of een eventueel ingestelde naam weer verwijdert, blijft net als voorheen uitsluitend bereikbaar via het geverifieerde mobiele telefoonnummer.

Voor organisaties die WhatsApp-gebruik op de werkvloer gedogen, maar de security-risico’s tot een minimum willen beperken, is dit wellicht de meest effectieve verdedigingslinie. Door medewerkers expliciet te verbieden een zakelijke of persoonlijke gebruikersnaam in te stellen op apparaten waarmee bedrijfsdata wordt verwerkt, wordt het hele nieuwe aanvalsoppervlak in één klap weggenomen. Hoe je zorgt dat personen achter de schermen toch geen gebruikersnaam claimen en gebruiken, valt natuurlijk wel weer lastig te controleren.

Concrete actiepunten voor de IT-afdeling

Om deze risico’s effectief te minimaliseren, moeten IT-afdelingen nu concrete stappen ondernemen. Het is raadzaam om cruciale merknamen, productnamen en de namen van key-executives vroegtijdig in kaart te brengen, zodat deze nu al geclaimd kunnen worden.

Daazaast is een update van de interne security awareness-trainingen essentieel. Medewerkers moeten er expliciet op worden gewezen dat een herkenbare gebruikersnaam op WhatsApp geen enkele garantie biedt voor een geverifieerde identiteit. Tot slot is dit het uitgelezen moment om het interne beleid rondom mobiele communicatie aan te scherpen en het gebruik van officiële, geverifieerde zakelijke kanalen actiever te stimuleren.