נוכלים גונבים חשבונות וואטסאפ של משתמשים בישראל

תקיפה חדשה ומתוחכמת מנצלת את מנגנון שחזור החשבון של וואטסאפ, אבל יש דרך פשוטה להתגונן מפני תקיפות נוספות - להפעיל את מנגנון האימות הדו-שלבי

רן בר זיק - צרובה
רן בר-זיק
שתפו בפייסבוק
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקיםכתוב תגובה
וואטסאפ
וואטסאפצילום: DADO RUVIC/רויטרס
רן בר זיק - צרובה
רן בר-זיק

יש הרבה דברים רעים להגיד על פושעי הרשת, אבל לזכותם ייאמר שהם (חלקם לפחות) מפגינים יצירתיות מרשימה. כך התברר היום (רביעי) מתקיפה חדשה ומסוכנת שמופעלת נגד משתמשי וואטסאפ דוברי עברית. כמו בתקיפה קודמת שגיליתי בשנה שעברה, גם התקיפה החדשה נועדה לגנוב חשבונות וואטסאפ. 

בשיטה הקודמת הפורץ ניצל את מנגנון שחזור החשבון של אפליקציית וואטסאפ - זה שמשמש לאמת את הזהות שלכם, למשל, כאשר אתם מחליפים מכשיר. כדי להפעיל את האפליקציה במכשיר החדש ולאמת את הזהות שלכם, וואטסאפ מציעה לשלוח אליכם הודעה ב-SMS או בתא הקולי, ובה קוד שתצטרכו להקליד באפליקציה. לפורץ אין באמת גישה לטלפון או לסמסים שלכם, אבל התא הקולי הוא כבר סיפור אחר, ויש לו עם ססמת ברירת מחדל שספק אם מישהו (חוץ מהפורצים וחברות הסלולר) זוכר או טרח לשנות. להודעה אפשר להאזין מכל מקום בעולם ובכל שעה - כלומר, גם כשאתם ישנים. משם הדרך היתה קצרה לגניבת החשבון וחסימת הקורבן באמצעות אימות דו שלבי.

לאחר שהפירצה הזו פורסמה, רבים פשוט ביטלו את התא הקולי או שינו את ססמת ברירת המחדל וכך הפכו את השיטה ללא מאוד ישימה. כלומר סגרו את הדלת. אבל הפורצים? כאמור, הם מצאו חלון להיכנס בו.

הצ'ט עם הנוכל

כמה קורבנות בישראל ובעולם הותקפו היום בדרך מקורית, שעליה סיפר לי קורא בשם אריאל גליל. הפורץ השתלט על חשבון ישראלי כלשהו, ופנה אל קרובת משפחתו של אריאל מחשבון של אדם שהיא מכירה. התוקף כתב לה בעברית שהוא מוציא אותה מהקבוצה אותה הוא מנהל מסיבה טכנית. לשם אבטחה, היא תקבל קוד בסמס מוואטסאפ ואז הוא יוכל להחזיר אותה לקבוצה. האשה אכן קיבלה הודעת אימות (בספרדית) מוואטסאפ ושלחה אותה מיד אל התוקף.

וכמובן שזו היתה הודעת האימות של וואטסאפ - בדיוק כמו בתקיפה הקודמת. לקרובת המשפחה לא היה אימות דו שלבי ולפיכך התוקף השתלט לה מיד על החשבון והשתמש בו כדי לתקוף את אנשי הקשר שלה.

כך נראה הצ'ט עם התוקף
כך נראה הצ'ט עם התוקף

מדובר בהנדסה חברתית מחוכמת וגם מפתיעה כשהיא מגיעה בעברית - אפילו אם במבט שני אפשר להבין שהוא השתמש בתרגום מכונה של גוגל. אחד היתרונות של שפתנו האיזוטרית היא שנוכלים בעולם פשוט מדלגים עלינו. זליגה של מתקפה כזו אל הקהל הישראלי היא מפתיעה, וההצלחה שלה מוכיחה כמה היא מסוכנת. 

מאוד קל לשבת מאחורי מסך ולחשוב ש״לי זה לא יקרה״. על זה בדיוק בונים תוקפים שמשתמשים בהנדסה חברתית לתקיפה. אני חושב שגם לי זה היה קורה ובקלות. זו הסיבה שמופעל לי אימות דו שלבי בחשבון הוואטסאפ (ובכל מקום אפשרי). כי אני יודע שמתישהו אני עלול ליפול קורבן למתקפה כזו. הקריאה שלי היא חד משמעית: הפעילו אימות דו שלבי בחשבון הוואטסאפ שלכם היום. (לחצו למדריך)

רן בר-זיק הוא מפתח בחברת OATH וכותב אתר internet-israel.com

תגובות

משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ