WhatsApp: masz konto? Możesz je stracić na 2 sposoby
WhatsApp jest w ścisłej czołówce komunikatorów popularnych w Polsce, przez co nierzadko staje się narzędziem w rękach oszustów. Nieświadomy zagrożenia użytkownik może łatwo uwierzyć w otrzymywane wiadomości i w efekcie stracić dostęp do własnego konta na WhatsAppie. Istnieją 2 metody.
Korzystający z WhatsAppa muszą być wyczuleni zwłaszcza na dwie formy ataku, które prowadzą do utraty własnego konta w komunikatorze. W obydwu przypadkach sprawa sprowadza się do nieświadomego, ale jednak samodzielnego przekazania dostępu oszustowi do własnego konta. Warto znać obydwa sposoby, aby szybko rozpoznać zagrożenie, nie dać się nabrać i nie stracić dostępu do konta na WhatsAppie.
Metoda "na 6-cyfrowy kod"
Pierwsza, najbardziej popularna metoda, to kontakt z ofiarą i wyłudzenie 6-cyfrowego kodu uwierzytelniającego. Chodzi o kombinację, która wysyłana jest SMS-em przez automat WhatsAppa podczas logowania ("loginem" jest numer komórkowy). Atakujący wpisuje we własnym telefonie numer ofiary, co powoduje, że automat wysyła kod właśnie do ofiary.
Następnie sam pisze do ofiary SMS-a, że pomylił się w numerze i przez to jego kod dotarł do niewłaściwej osoby - to manipulacja. Istotnie bowiem kod trafił do skrzynki odbiorczej ofiary ataku, ale nie oznacza to, że jest to "kod oszusta" - wręcz przeciwnie, to kombinacja uwierzytelniająca dostęp do konta założonego na dany numer telefonu.
Jeśli odbiorca SMS-a nie zda sobie sprawy, że podając oszustowi kod w praktyce sam oddaje dostęp do własnego konta z WhatsAppa - atakujący od tego momentu będzie się mógł podszywać pod ofiarę i odczytywać wiadomości wysyłane do niej przez znajomych. To także otwarta droga do kolejnych oszustw.
Sposób z kodami MMI
Druga metoda w swojej istocie jest podobna, ale wykorzystuje inny mechanizm. Chodzi o kody MMI, umożliwiające w smartfonach konfigurowanie niektórych funkcji. W tym przypadku mowa o nieświadomym ustawieniu przez ofiarę przekierowywania połączeń. Podobnie jak w przypadku odczytania kodu z SMS-a, oszustowi pozwoli to docelowo zalogować się na cudze konto na WhatsAppie.
Atakujący kontaktuje się z przyszłą ofiarą i nakłania ją do wprowadzenia w telefonie specjalnie przygotowanego "ciągu znaków". W rzeczywistości to spreparowany kod MMI, który ustawi w telefonie ofiary przekierowywanie połączeń głosowych na numer oszusta. Od tego momentu wszystkie osoby, które chcą dodzwonić się do ofiary, w praktyce dodzwonią się do atakującego. Otwiera to oczywiście drogę do dodatkowych manipulacji telefonicznych i innych oszustw, ale w tym przypadku nie o to chodzi.
Aby wykorzystać ten mechanizm na potrzeby przejęcia konta WhatsAppa, oszust próbuje się wówczas zalogować na konto ofiary, ale zamiast weryfikacji 6-cyfrowym kodem z SMS-a, wybiera jednorazowe połączenie głosowe. Na numer zadzwoni wówczas automat, odczytując kod uwierzytelniający. Dzięki ustawionemu wcześniej przekierowaniu połączeń, telefon odbierze sam atakujący.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl