Este método explora uma funcionalidade legítima da aplicação para permitir que criminosos assumam o controlo de contas sem necessitar de roubar palavras-passe ou duplicar cartões SIM, tornando-o particularmente insidioso. O ataque baseia-se em engenharia social para enganar a vítima, começando frequentemente com uma mensagem de um contacto conhecido que a incita a clicar num link. Esse link redireciona para uma página que imita um sistema de login, solicitando o número de telefone e, em seguida, instruindo o utilizador a ler um código QR ou a inserir um código numérico. Sem o saber, a vítima está a autorizar a vinculação de um novo dispositivo à sua conta através da funcionalidade legítima do WhatsApp Web.

É esta associação invisível, realizada no navegador do atacante, que dá o nome ao ataque.

Uma vez estabelecido o acesso, o cibercriminoso obtém as mesmas permissões que um utilizador legítimo do WhatsApp Web, incluindo acesso ao histórico de conversas, receção de mensagens em tempo real, download de ficheiros e a capacidade de enviar novas mensagens. Esta última capacidade é crucial para a propagação do ataque, pois o criminoso pode usar a lista de contactos da vítima para enviar a mesma armadilha a outras pessoas, perpetuando o ciclo.

A investigação da Gen Digital destaca que o método é eficaz precisamente por abusar de um mecanismo de confiança da plataforma, fazendo com que, do ponto de vista técnico, pareça que foi o próprio utilizador a autorizar a ligação.