En simpel WhatsApp-brugerfejl kan føre til store problemer
Zak Doffman, administrerende direktør for et sikkerhedsfirma ved navn Digital Barriers og en Forbes-bidragyder, snublede for nylig over et kontoovertagelsesangreb rettet mod WhatsApp-brugere. Det viser endnu en gang, at det at være i stand til at hacke den menneskelige psyke for cyberkriminelle kunne være endnu vigtigere end at være i stand til at hacke en onlinetjeneste.
Doffman lærte om angrebet, da en ven af hans klagede i en gruppechat om, at hendes WhatsApp-konto var blevet hacket. Hun bad de andre om at være på vagt over for de meddelelser, der angiveligt kom fra hende, og hun advarede alle om ikke at give væk seks-cifrede numre, som de muligvis kunne få som tekst. Det lød først underligt, men snart vidste Zak Doffman nøjagtigt, hvad der var sket, og han var ret forbløffet over, hvor enkelt og smart angrebet er.
En socialteknisk masterclass
Det er umuligt at sige, hvor udbredt fidus er, eller om det er rettet mod et bestemt sæt brugere. Den måde, angrebet fungerer på, antyder dog, at den, der organiserede det, er fast besluttet på at overtage så mange konti som muligt.
Folk, der er bekymrede for at få deres private samtaler kompromitteret, kan få et lettelsens sukk. WhatsApps brug af ende-til-ende-kryptering betyder, at hvis nogen logger på din konto fra en anden enhed, kan de ikke se dine chats, medmindre de også har stjålet din sikkerhedskopi. Det, de imidlertid kan se, er dine venners telefonnumre, og de kan også prøve at kompromittere deres konti.
Det gør de tydeligvis fra en tidligere ukendt enhed, hvilket betyder, at det er umuligt at logge på uden en sekscifret kode, som kontoejeren modtager som en SMS. Angriberen bruger din allerede kompromitterede konto til at efterligne dig, og de beder høfligt om ovennævnte kode. Angriberne håber, at den tillid, der blev oprettet mellem dig og din ven, ville være nok til, at koden blev overdraget uden så meget som en tøven. I de fleste tilfælde med dette kan skurkerne overtage din vens konto.
Det er et klassisk socialteknisk angreb, og den måde, det fungerer på, viser, at offerantællingen let kunne spiral ud af kontrol. Den kendsgerning, at det ikke kræver en enorm økonomisk investering at gøre det væk, gør det desto mere tiltalende for usofistikerede cyberkriminelle, hvorfor vi sandsynligvis skal tale om, hvad du kan gøre for at holde dig sikker.
Hvordan finder man den nyeste WhatsApp-svindel?
Det handler om at vide, hvordan WhatsApp fungerer. Hvis du gør det, vil du være opmærksom på, at den sekscifrede kode, du lige har modtaget, blev sendt, fordi nogen forsøger at få adgang til din konto fra en anden enhed. Med det i tankerne vil det ikke være vanskeligt at mistænke, at der er noget galt, når nogen på din kontaktliste anmoder om den nævnte kode, selvom denne person gemmer sig bag din bedste vens telefonnummer.
Hvis du er bekendt med WhatsApps loginproces, ved du også, at appen tilbyder en tofaktors autentificeringsindstilling , der kan aktiveres fra Kontosektionen i appens indstillinger. Ved tofaktorautentisering kræver login til en ny enhed ikke kun den sekscifrede kode, vi talte om i de foregående afsnit, men også en pinkode, som du opretter og husker dig selv.
Selvom angrebets design er smart, er dets succes i sidste ende afhængig af, at du laver en række enkle fejl. Det er op til dig at bevise, at du er bedre end det.