Простая ошибка пользователя WhatsApp может привести к большим неприятностям
Зак Доффман, генеральный директор охранной компании под названием Digital Barriers и сотрудник Forbes, недавно наткнулся на атаку захвата аккаунта, нацеленную на пользователей WhatsApp. Это еще раз показывает, что для киберпреступников возможность взломать психику человека может быть даже важнее, чем возможность взломать онлайн-сервис.
Доффман узнал об атаке, когда его друг пожаловался в групповом чате на взлом ее учетной записи в WhatsApp. Она сказала остальным, чтобы они с осторожностью относились к сообщениям, которые якобы исходили от нее, и предупредила всех, чтобы они не выдавали шестизначные числа, которые они могли бы получить в виде текста. Поначалу это звучало несколько странно, но вскоре Зак Доффман точно знал, что произошло, и был весьма удивлен тем, насколько простой и умной была атака.
Мастер-класс по социальной инженерии
Невозможно сказать, насколько распространена афера или она нацелена на определенный набор пользователей. Однако то, как атака работает, предполагает, что тот, кто ее организовал, намерен взять на себя как можно больше учетных записей.
Люди, которые беспокоятся о том, что их личные разговоры могут быть скомпрометированы, могут вздохнуть с облегчением. Использование сквозного шифрования в WhatsApp означает, что если кто-то войдет в вашу учетную запись с другого устройства, он не увидит ваши чаты, если они не украли вашу резервную копию. Однако они видят телефонные номера ваших друзей и могут попытаться скомпрометировать свои учетные записи.
Очевидно, они делают это с ранее неизвестного устройства, что означает, что вход без шестизначного кода, который владелец аккаунта получает в виде SMS, невозможен. Однако злоумышленник использует вашу уже скомпрометированную учетную запись, чтобы выдать себя за вас, и он вежливо запрашивает вышеупомянутый код. Злоумышленники надеются, что доверия, установленного между вами и вашим другом, будет достаточно для передачи кода без каких-либо колебаний. В большинстве случаев, с этим, мошенники могут взять на себя учетную запись вашего друга.
Это классическая атака социальной инженерии, и то, как она работает, показывает, что количество жертв может легко выйти из-под контроля. Тот факт, что осуществление этого не требует огромных финансовых вложений, делает его еще более привлекательным для неискушенных киберпреступников, поэтому нам, вероятно, следует поговорить о том, что вы можете сделать, чтобы обезопасить себя.
Как определить последние мошенничества WhatsApp?
Все дело в знании того, как работает WhatsApp. Если вы это сделаете, вы будете знать, что шестизначный код, который вы только что получили, был отправлен, потому что кто-то пытается получить доступ к вашей учетной записи с другого устройства. Имея это в виду, не составит труда заподозрить, что что-то не так, когда кто-то из вашего списка контактов запрашивает вышеупомянутый код, даже если этот человек прячется за номером телефона вашего лучшего друга.
Если вы знакомы с процессом входа в WhatsApp, вы также знаете, что приложение предлагает параметр двухфакторной аутентификации, который можно активировать в разделе « Учетная запись » в настройках приложения. При двухфакторной аутентификации для входа на новое устройство потребуется не только шестизначный код, о котором мы говорили в предыдущих параграфах, но и PIN-код, который вы создаете и запоминаете сами.
Хотя дизайн атаки умный, его успех в конечном итоге зависит от того, совершите ли вы ряд простых ошибок. Это до вас, чтобы доказать, что вы лучше, чем это.