רן בר-זיק

פרצה פשוטה בוואטסאפ הפילה קורבן ראשון בישראל ואפשרה לתוקף להשתלט על החשבון שלו. מדובר בשיטה לא חדשה במיוחד, אבל למיטב ידיעתי זו הפעם הראשונה שמקרה כזה דווח בארץ. 

דיווח של קורבן ראשון על גניבת חשבון ווטסאפ ונעילה של הקורבן מחוץ לחשבון

למעשה שמעתי על התקיפה לפני זמן מה ואפילו הצלחתי לשחזר אותה, אבל לא האמנתי שהיא כה אפקטיבית. ובכן, אם יש אחד, אחרים עלולים לבוא בעקבותיו, בעיקר כאשר מדובר בפרצה לא מורכבת במיוחד מבחינה טכנית.

אז איך גונבים חשבון וואטסאפ?

זה די קל אם לקורבן יש תא קולי. בלא מעט מספרי טלפון יש תא קולי שלא ממש משתמשים בו והססמה שלו היא די קבועה. בדרך כלל ״0000״ או ״1234״ – מה שמגיע כברירת המחדל. כיוון שמעטים משתמשים בתא קולי גם לאף אחד לא ממש אכפת ממנו וכך הוא נותר במספר הטלפון כמו סרח עודף.

אבל מסתבר שהשריד הנידח משנות התשעים יכול להיות רלוונטי אם אנו מנסים לגנוב את חשבון הוואטסאפ של הקורבן. הדבר הראשון זה לוודא שלקורבן יש תא קולי. אחת מהדרכים היא להשתמש בכוכבית 151. מחייגים כוכבית 151 ואז את מספר הטלפון של הקורבן. נגיע אל התא הקולי. נקיש את הססמה. הגענו לתא הקולי? בינגו! בדרך כלל לא נמצא שם משהו מעניין אבל אנחנו צריכים גישה לתא הקולי.

עכשיו זה החלק המסובך– מחכים לשעה שבה הקורבן לא זמין/לא יענה. אם הוא שומר שבת, אז שבת זה הזמן האידיאלי. בדרך כלל גם אמצע הלילה זה זמן טוב או כאשר הקורבן בנסיעה לחו״ל. מחברים את הוואטסאפ שלכם לקו הטלפון שלו. תהליך האימות של וואטסאפ הוא שליחת סמס.

תהליך אימות מספר בווטסאפ – נשלח סמס למספר שאליו אתה משייך את חשבון הווטסאפ שלך

אבל אם אתה מציין שהסמס לא נשלח, ניתן לבקש בממשק הכניסה להתקשר אל המספר. וואטסאפ יוצרים שיחה שבה קול מוקלט נותן לך את קוד האימות.

שליחת הסמס נכשלה, אנו יכולים לשלוח את המספר באמצעות שיחת טלפון

מה שקורה הוא שמי שעונה לשיחה הוא המענה הקולי. השיחה המוקלטת מטעם וואטסאפ מוסרת את המספר לתא הקולי. צריך לגשת מיידית אל התא הקולי ולקחת את קוד האימות משם. וזהו! יש לכם גישה לוואטסאפ.

עכשיו צריך במהירות ליצור אימות דו שלבי כדי לנעול את הקורבן מחוץ לוואטסאפ שלו. וזהו, מעכשיו גם אם הוא ינסה לקבל מחדש את חשבון הוואטסאפ שלו הוא לא יצליח כיוון שכל תהליך אימות מחדש יהיה מחויב קוד סודי שרק לתוקף יש. כל מה שנותר לעשות זה לפנות לתמיכה של וואטסאפ ולקוות לטוב. בינתיים התוקף יכול לגרום לנזק משמעותי. במיוחד כשכולנו בטוחים שאי אפשר לגנוב חשבון וואטסאפ.

הגנה

זה מעט מורכב אבל כאמור לא מחייב ידע טכני. אז מה עושים?

תא קולי? מתי היתה הפעם האחרונה שהשתמשתם בו?

הדבר הראשון הוא לבטל מיידית את התא הקולי בחשבון. או לשנות את הסיסמה לסיסמה שהיא לא סיסמת ברירת המחדל. באופן אישי, ביטלתי את התא הקולי שגם כך לא היה לי בו שימוש.

חשבון הוואטסאפ

הדבר השני הוא הפעלת אימות דו שלבי בחשבון הוואטסאפ. כך זה עובד:
Settings -> Two-step verification

תידרשו להכניס קוד בן 6 ספרות שהוא ׳הסיסמה׳ שלכם. לא תוכלו לשייך טלפון חדש למספר שלכם ללא הקשת הסיסמה. כמו כן תידרשו גם להכניס כתובת מייל שאליה יישלח מייל במידה ותשכחו את הקוד. אחרי וידוא הפרטים, האימות הדו שלבי פועל החשבון שלכם מוגן.

אימות דו שלבי

אימות דו שלבי תלוי אפליקציה הוא מאוד מאוד חשוב לחשבונות חשובים. גישה לחשבון הוואטסאפ היא קריטית עבורנו ויכולה להיות פתח לצרות ובעיות. זה כל כך קל להפעיל אותו שזו בדיחה. אל תקלו ראש בעניין הזה ועשו זאת עכשיו.

פורסם לראשונה ב-internet-israel.com

לחצו על הפעמון לעדכונים בנושא:

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ