En enkel WhatsApp-brukerfeil kan føre til store problemer

Zak Doffman, administrerende direktør i et sikkerhetsselskap som heter Digital Barriers og en Forbes-bidragsyter, snublet nylig om et kontoovertagelsesangrep rettet mot WhatsApp-brukere. Det viser nok en gang at det å være i stand til å hacke den menneskelige psyken for nettkriminelle kan være enda viktigere enn å kunne hacke en online tjeneste.

Doffman fikk vite om angrepet da en venn av ham klaget i en gruppeprat at WhatsApp-kontoen hennes var blitt hacket. Hun ba de andre om å være på vakt mot meldingene som visstnok skulle komme fra henne, og hun advarte alle om ikke å gi bort sekssifrede nummer som de kan motta som tekst. Det hørtes noe rart ut fra begynnelsen, men snart visste Zak Doffman nøyaktig hva som hadde skjedd, og han ble ganske forbløffet over hvor enkelt og smart angrepet er.

En sosialteknisk masterclass

Det er umulig å si hvor utbredt svindelen er, eller om den er rettet mot et bestemt sett med brukere. Måten angrepet fungerer på, antyder imidlertid at den som organiserte det er fast bestemt på å overta så mange kontoer som mulig.

Mennesker som er bekymret for å få kompromitterte sine private samtaler, kan puste lettet ut. WhatsApps bruk av ende-til-ende-kryptering betyr at hvis noen logger på kontoen din fra en annen enhet, kan de ikke se chatene dine med mindre de også har stjålet sikkerhetskopien din. Det de derimot kan se er vennene dine telefonnumre, og de kan prøve å kompromittere kontoene deres også.

De gjør det tydeligvis fra et tidligere ukjent enhet, noe som betyr at det er umulig å logge på uten en sekssifret kode som kontoeieren mottar som en SMS. Angriperen bruker den allerede kompromitterte kontoen din for å etterligne deg, og de ber høflig om den nevnte koden. Angriperne håper at tilliten som ble opprettet mellom deg og din venn, vil være nok til at koden kunne overleveres uten så mye som å nøle. I de fleste tilfeller, med dette, kan kjeltringene overta vennens konto.

Det er et klassisk sosialteknisk angrep, og måten det fungerer på viser at offerantellingen lett kunne spiral ut av kontroll. Det faktum at å trekke den av, ikke krever store økonomiske investeringer, gjør det desto mer attraktivt for usofistiserte nettkriminelle, og det er grunnen til at vi sannsynligvis bør snakke om hva du kan gjøre for å holde deg trygg.

Hvordan oppdage den nyeste WhatsApp-svindelen?

Det handler om å vite hvordan WhatsApp fungerer. Hvis du gjør det, vil du være klar over at den sekssifrede koden du nettopp har blitt sendt, fordi noen prøver å få tilgang til kontoen din fra en annen enhet. Med det i bakhodet, vil det ikke være vanskelig å mistenke at noe er galt når noen i kontaktlisten din ber om den nevnte koden, selv om noen skjuler seg bak din beste venns telefonnummer.

Hvis du er kjent med WhatsApps påloggingsprosess, vil du også vite at appen tilbyr et tofaktors autentiseringsalternativ som kan aktiveres fra Konto- delen i appens innstillinger. Ved tofaktorautentisering vil pålogging på en ny enhet ikke bare kreve den sekssifrede koden vi snakket om i de foregående avsnittene, men også en PIN-kode, som du oppretter og husker selv.

Selv om angrepets design er smart, avhenger suksessen til slutt av at du gjør en serie enkle feil. Det er opp til deg å bevise at du er bedre enn det.