זהירות! גל חטיפות חשבונות ווטסאפ

"אין כרגע דרך לקבל חזרה שליטה על חשבון שנחטף. כלומר, לתוקף תישאר הגישה לכל פרטי חשבון הווטסאפ" מזהירים מומחים.

ערוץ 7 , כ"א באדר תשע"ט

אילוסטרציה
אילוסטרציה
צילום: אייסטוק

באחד הערבים האחרונים נשלחה הודעה במסגרת קבוצת ווטסאפ בית ספרית. היה זה הטלפון של ט'. הוא שינה מספר לקידומת +963, הקידומת של סוריה.

רק דקות אחר כך יתברר מה קרה, אבל באותו הרגע שונה שמה של קבוצת הווטסאפ. ONLY VIRUS היה השם שקרא ההאקר לקבוצה, והשם המקורי נעלם.

הודעות בערבית התחילו לזרום בקצב ורמת החשש בקרב ההורים טיפסה. עידו נאור, חוקר בכיר במעבדת קספרסקי, ובמקרה גם חבר בקבוצת הווטסאפ, התחיל לחקור וגילה כי במסגרת ניסיון להשתלט על מספרי טלפון לצורך איסוף מידע, הצליח ההאקר להשתלט על חשבון הווטסאפ של ט', אחת החברות בקבוצה, ולשלוח הודעות בשמה לאנשי קשר ולקבוצות בהן היא חברה.

אז איך מתבצע תהליך גניבת החשבון?

התוקף מוריד את אפליקציית ווטסאפ לטלפון פיקטיבי ומצהיר שהמספר (שלכם) הוא שלו.

הקורבן מקבל הודעת SMS שהיא חלק מתהליך האימות הדו שלבי, אשר נועד למנוע מצבי חטיפה של חשבונות. במקביל, התוקף פונה לקורבן ומשדל אותו לשלוח לו את ששת הספרות המופיעות בהודעה או ללחוץ על הלינק בהודעה.

למרות שבהודעת ה-SMS כתובה חד משמעית האזהרה "לא לשתף את הקוד עם אף אחד", בפועל, לא מעט משתמשים נופלים קורבן ומשתפים את הקוד עם התוקף.

לאחר קבלת הקוד, מזין ההאקר את ששת הספרות בטלפון הפיקטיבי שלו ומקבל שליטה מלאה על חשבון הווטסאפ של הקורבן. ההשתלטות הושלמה.

לדברי נאור, לא מדובר בוירוס, או בסוס טרויאני, אלא בשיטה שנקראת Social Engineering, שמטרתה להתל בקורבן כדי לשכנעו לציית לבקשות התוקף על מנת שיבצע פעולה שאינו מודע להשלכותיה. את דרך הפעולה של התוקף חווה נאור בעצמו. "אחרי שהשתלט על חשבון הווטסאפ של ט', המשיך התוקף לפנות לכל חברי הקבוצה", מסביר נאור. "במצב כזה, כאשר נפל קורבן אחד בקבוצה, החוכמה היא לעצור את השטף”.

מאחר ובמקרים רבים התוקף אינו משנה את שם החשבון, הפניה מהתוקף תיראה כפניה תמימה של חבר או אחד מאנשי הקשר, מה שיגדיל את הסבירות להיענות לבקשתו.

והבעיה לא מסתיימת כאן. מבדיקה שעשה נאור, מסתבר שאין כרגע דרך לקבל חזרה שליטה על חשבון שנחטף. מה שאומר שלתוקף תישאר הגישה לכל פרטי חשבון הווטסאפ, ההודעות ואנשי הקשר, והוא יכול ליצור קשר באין מפריע עם אנשי הקשר, תחת זהותו של הקורבן.

מהבדיקה עוד עולה כי במקרה של חטיפת חשבונות אין אפשרות לאחזר אותם. בעל החשבון המקורי יכול אומנם לפתוח חשבון ווטסאפ חדש, ללא כל הקבוצות שהיה חבר בהן, אך פרטי החשבון, על כל המשתמע מכך, נשארים ברשות החוטף.

דוגמאות נוספות לחטיפות חשבונות אותרו בשבוע האחרון בישראל ובאירופה, ופורומים מקומיים מתמלאים בימים האחרונים בבקשות עזרה. פניות לווטסאפ לא נענו.

אם קיבלתם הודעת SMS המכילה קוד אימות (כפי שמופיע בתמונה שלהלן) אין לשלוח אותה לאף אחד ויש להתעלם ממנה. הקוד יאבד מערכו תוך זמן קצר וההאקר יעלם. אז הפתרון פשוט: התעלמו!

ההודעה הבעייתית
צילום מסך

הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il