Ein einfacher WhatsApp-Benutzerfehler kann zu großen Problemen führen

Zak Doffman, CEO eines Sicherheitsunternehmens mit dem Namen Digital Barriers und Forbes-Mitarbeiter, ist kürzlich auf einen Angriff zur Übernahme eines Kontos gestoßen, der WhatsApp-Benutzer zum Ziel hatte. Dies zeigt einmal mehr, dass es für Cyberkriminelle noch wichtiger sein könnte, die menschliche Psyche zu hacken, als einen Online-Dienst zu hacken.

Doffman erfuhr von dem Angriff, als sich eine Freundin in einem Gruppenchat beschwerte, dass ihr WhatsApp-Account gehackt worden war. Sie sagte den anderen, sie sollten vorsichtig mit den Nachrichten sein, die angeblich von ihr kommen, und sie warnte alle, keine sechsstelligen Zahlen preiszugeben, die sie als Text erhalten könnten. Anfangs klang es etwas seltsam, aber bald wusste Zak Doffman genau, was passiert war, und er war ziemlich erstaunt darüber, wie einfach und clever der Angriff ist.

Eine Social Engineering Meisterklasse

Es ist unmöglich zu sagen, wie weit verbreitet der Betrug ist oder ob er sich an eine bestimmte Gruppe von Benutzern richtet. Die Art und Weise, wie der Angriff funktioniert, legt jedoch nahe, dass derjenige, der ihn organisiert hat, entschlossen ist, so viele Konten wie möglich zu übernehmen.

Menschen, die befürchten, dass ihre privaten Gespräche beeinträchtigt werden, können erleichtert aufatmen. WhatsApp verwendet End-to-End-Verschlüsselung. Wenn sich jemand von einem anderen Gerät aus bei Ihrem Konto anmeldet, kann er Ihre Chats nicht sehen, es sei denn, er hat auch Ihr Backup gestohlen. Was sie jedoch sehen können, sind die Telefonnummern Ihrer Freunde, und sie können versuchen, auch ihre Konten zu gefährden.

Dies geschieht offensichtlich von einem zuvor nicht erkannten Gerät aus. Das bedeutet, dass eine Anmeldung ohne einen sechsstelligen Code, den der Kontoinhaber als SMS erhält, nicht möglich ist. Der Angreifer verwendet jedoch Ihr bereits kompromittiertes Konto, um sich als Sie auszugeben, und fragt höflich nach dem oben genannten Code. Die Angreifer hoffen, dass das zwischen Ihnen und Ihrem Freund aufgebaute Vertrauen ausreicht, um den Code ohne Zögern weiterzugeben. In den meisten Fällen können die Gauner damit das Konto Ihres Freundes übernehmen.

Es ist ein klassischer Social-Engineering-Angriff, und seine Funktionsweise zeigt, dass die Anzahl der Opfer leicht außer Kontrolle geraten kann. Die Tatsache, dass es keine großen finanziellen Investitionen erfordert, macht es umso attraktiver für anspruchslose Cyberkriminelle, weshalb wir wahrscheinlich darüber sprechen sollten, was Sie tun können, um sich selbst zu schützen.

Wie finde ich den neuesten WhatsApp-Betrug?

Es geht darum zu wissen, wie WhatsApp funktioniert. In diesem Fall ist Ihnen bekannt, dass der soeben erhaltene sechsstellige Code gesendet wurde, weil jemand versucht, von einem anderen Gerät aus auf Ihr Konto zuzugreifen. In diesem Sinne ist es nicht schwer zu vermuten, dass etwas nicht in Ordnung ist, wenn jemand in Ihrer Kontaktliste den oben genannten Code anfordert, auch wenn sich dieser jemand hinter der Telefonnummer Ihres besten Freundes versteckt.

Wenn Sie mit dem Anmeldevorgang von WhatsApp vertraut sind, wissen Sie auch, dass die App eine Zwei-Faktor-Authentifizierungsoption bietet, die im Abschnitt " Konto " in den App-Einstellungen aktiviert werden kann. Bei der Zwei-Faktor-Authentifizierung ist für die Anmeldung an einem neuen Gerät nicht nur der sechsstellige Code erforderlich, über den wir in den vorherigen Absätzen gesprochen haben, sondern auch eine PIN, die Sie selbst erstellen und sich merken.

Obwohl das Design des Angriffs clever ist, hängt sein Erfolg letztendlich davon ab, dass Sie eine Reihe einfacher Fehler machen. Es liegt an Ihnen zu beweisen, dass Sie besser als das sind.