O golpe começa com o envio de uma mensagem, geralmente de um contacto conhecido já comprometido, que contém um link. Ao clicar, a vítima é redirecionada para uma página que imita um sistema de login, onde lhe é pedido o número de telefone. Subsequentemente, é induzida a ler um código QR ou a introduzir um código numérico, passos que, na realidade, servem para vincular um novo dispositivo — controlado pelo atacante — à sua conta do WhatsApp.

Uma vez estabelecida esta ligação invisível, o criminoso obtém acesso total à conta através do WhatsApp Web, podendo ler o histórico de conversas, receber mensagens em tempo real, descarregar ficheiros e, crucialmente, enviar novas mensagens para propagar o ataque a outros contactos da vítima. A legitimidade do processo de emparelhamento do ponto de vista da plataforma torna a deteção do ataque um desafio, sublinhando a necessidade de os utilizadores estarem extremamente vigilantes em relação a pedidos de leitura de códigos QR ou de introdução de códigos de confirmação.