WhatsApp започна да позволява на потребителите да резервират потребителски имена преди по-мащабното стартиране на функцията, планирано за по-късно тази година. Това предизвика вълна от въпроси относно сигурността, риска от фалшива самоличност (impersonation) и свързването на акаунти, които изследователите по сигурността трябва да проследяват внимателно.

Според WhatsApp потребителските имена са незадължителни, а не задължителни, което означава, че съществуващата идентификация, базирана на телефонен номер, остава механизъм за удостоверяване и контакт по подразбиране.

Потребителите, които искат конкретно име, съвпадащо с техния акаунт в Instagram или Facebook, трябва първо да свържат тези акаунти – избор на дизайн, изрично рамкиран като контрол срещу кражба на самоличност, за да се потвърди легитимната собственост преди разрешаване на прекратяването на връзката.

Тази изисквана връзка ефективно обвързва валидирането на резервацията с по-широката идентификационна мрежа на Meta, създавайки точка за проверка на платформи, която преди това не беше необходима за създаване на акаунт в WhatsApp.

Meta предварително е резервирала добре известни имена и вариации, включително на обществени личности, известни личности, правителствени структури и потвърдени акаунти (Meta-verified), блокирайки обикновените потребители да ги изискат, независимо от времето на кандидатстване.

Съществуващите потребителски имена в Instagram и Facebook също са блокирани за оригиналните им собственици, което разширява прилагането на пространството от имена на Meta извън едно приложение.

Това е забележително отклонение от типичните модели за резервация на потребителски имена в платформи като Twitter/X или Discord, където заемането на имена (squatting) е постоянен вектор на злоупотреба, и директно се насочва срещу измами с представяне под чужда самоличност на марки и известни личности.

Въпреки тези защити, съобщенията, базирани на потребителско име, все още не са активирани, което означава, че основната повърхност за атака – нежелана връзка чрез използване на подобно или сгрешено потребителско име – в момента не може да бъде експлоатирана.

Когато изпращането на съобщения чрез потребителско име бъде внедрено, WhatsApp заявява, че ще показва метаданни за страната на произход и предупреждения при първи контакт, отразявайки съществуващите евристики за "неизвестен подател", които вече се използват за съобщения въз основа на телефонен номер.

Важно е да се отбележи, че потребителските имена не могат да се търсят, което затваря вектора за извличане на данни, превърнал събирането на телефонни номера в обща OSINT и спам техника. Потребителите могат допълнително да намалят излагането на риск, като добавят "ключ за потребителско име", ограничаващ откриваемостта до уникален за WhatsApp идентификатор.

Екипите за сигурност, наблюдаващи кампании за социално инженерство, трябва да обърнат внимание, че вече циркулират фалшиви твърдения за резервиране на популярни потребителски имена, които Meta изрично опроверга – само проверени собственици на акаунти могат да държат имена на обществени личности.

Този модел на дезинформация е в съответствие с използването на шума около предпремиерни функции за фишинг или събиране на идентификационни данни, тактика, често виждана преди големи пускания на платформи.

Анализаторите трябва да наблюдават евентуалното пускане на съобщения с потребителски имена, за да видят колко добре обещаните предупреждения за страна на произход и първи контакт се справят срещу реални измамни кампании, тъй като подобни предупреждения на други платформи имат смесен успех срещу сложно социално инженерство.

Самата стратегия за резервация преди пускане е забележителен модел за UX дизайн и сигурност, който си струва да се проследи, тъй като други платформи за съобщения могат да приемат подобни поетапни внедрявания за намаляване на злоупотребите от първия ден.