התקפות על משתמשים ישראלים באמצעות חטיפת חשבונות ווצאפ

יום ה', 28 בפברואר 2019

 

באחד הערבים האחרונים נשלחה הודעה במסגרת קבוצת ווצאפ בית ספרית. היה זה הטלפון של ט'. לפי בקשה הוא שינה מספר לקידומת +963, הקידומת של סוריה. באותו הרגע שונה שמה של קבוצת הווצאפ. ONLY VIRUS היה השם שקרא ההאקר לקבוצה, והשם המקורי נעלם.

הודעות בערבית התחילו לזרום בקצב ורמת החשש בקרב ההורים טיפסה. עידו נאור, חוקר בכיר במעבדת קספרסקי, ובמקרה גם חבר בקבוצת הווצאפ, התחיל לחקור וגילה כי במסגרת ניסיון להשתלט על מספרי טלפון לצורך איסוף מידע, הצליח ההאקר להשתלט על חשבון הווצאפ של ט', אחת החברות בקבוצה, ולשלוח הודעות בשמה לאנשי קשר ולקבוצות בהן היא חברה. 

 

אז איך מתבצע תהליך גניבת החשבון ?

  1. התוקף מוריד את אפליקציית ווצאפ לטלפון פיקטיבי ומצהיר שהמספר (שלכם) הוא שלו.
  2. הקורבן מקבל הודעת SMS שהיא חלק מתהליך האימות הדו שלבי, אשר נועד למנוע מצבי חטיפה של חשבונות. במקביל, התוקף פונה לקורבן ומשדל אותו לשלוח לו את ששת הספרות המופיעות בהודעה או ללחוץ על הלינק בהודעה.
  3. למרות שבהודעת ה-SMS כתובה חד משמעית האזהרה "לא לשתף את הקוד עם אף אחד", בפועל, לא מעט משתמשים נופלים קורבן ומשתפים את הקוד עם התוקף.
  4. לאחר קבלת הקוד, מזין ההאקר את ששת הספרות בטלפון הפיקטיבי שלו ומקבל שליטה מלאה על חשבון הווצאפ של הקורבן. ההשתלטות הושלמה.

לדברי נאור, לא מדובר בוירוס, או בסוס טרויאני, אלא בשיטה שנקראת Social Engineering, שמטרתה להתל בקורבן כדי לשכנעו לציית לבקשות התוקף על מנת שיבצע פעולה שאינו מודע להשלכותיה. את דרך הפעולה של התוקף חווה נאור בעצמו. "אחרי שהשתלט על חשבון הווצאפ של ט', המשיך התוקף לפנות לכל חברי הקבוצה", מסביר נאור. "במצב כזה, כאשר נפל קורבן אחד בקבוצה, החוכמה היא לעצור את השטף. מאחר ובמקרים רבים התוקף אינו משנה את שם החשבון, הפניה מהתוקף תיראה כפניה תמימה של חבר או אחד מאנשי הקשר, מה שיגדיל את הסבירות להיענות לבקשתו.

והבעיה לא מסתיימת כאן. מבדיקה שעשה נאור, מסתבר שאין כרגע דרך לקבל חזרה שליטה על חשבון שנחטף. מה שאומר שלתוקף תישאר הגישה לכל פרטי חשבון הווצאפ, ההודעות ואנשי הקשר, והוא יכול ליצור קשר באין מפריע עם אנשי הקשר, תחת זהותו של הקורבן.

מהבדיקה עוד עולה כי במקרה של חטיפת חשבונות אין אפשרות לאחזר אותם. בעל החשבון המקורי יכול אומנם לפתוח חשבון ווצאפ חדש, ללא כל הקבוצות שהיה חבר בהן, אך פרטי החשבון, על כל המשתמע מכך, נשארים ברשות החוטף.

דוגמאות נוספות לחטיפות חשבונות אותרו בשבוע האחרון בישראל ובאירופה, ופורומים מקומיים מתמלאים בימים האחרונים בבקשות עזרה. פניות לווצאפ לא נענו.

אם קיבלתם הודעת SMS המכילה קוד אימות אין לשלוח אותה לאף אחד ויש להתעלם ממנה. הקוד יאבד מערכו תוך זמן קצר וההאקר יעלם. התעלמו!