בארץ

מערך הסייבר הלאומי: דיווחים בשעות האחרונות על פריצות בחשבונות וואטסאפ פרטיים

קרדיט: raphaelsilva מאתר Pixabay

בהודעה של רשת הפייסבוק של המערך הוסבר כי מומלץ להפעיל את האפשרות לאימות דו-שלבי ברשת הוואטסאפ. מדובר כנראה במתווה הונאה פשוט לביצוע דרך הרשת החברתית שהתגלה השנה.

מערך הסייבר הלאומי הודיע היום (09.04) כי עלו בשעות האחרונות דיווחים על פריצות בחשבונות וואטסאפ פרטיין של משתמשים ישראליים. ע"פ הדיווח, מדובר כנראה בשיטת הונאה פשוטה לביצוע דרך הרשת החברתית שהתגלתה השנה. באתר המערך נכתב לפני חודשיים כי מתווה ההונאה החדש מבוצע בשתי גרסאות שונות. האחת כוללת שימוש בתא קולי של המכשיר הנייד והשניה מובילה לעמוד דיוג.

בשימוש בתא הקולי של המכשיר הנייד התוקף מוריד את היישומון ומזין מספר טלפון ישראלי. על מנת להפעיל חשבון קיים הוא מתבקש לבחור בזיהוי באמצעות שיחה טלפונית או באמצעות מסרון. הוא בוחר באימות באמצעות שיחה, בדרך-כלל בשעות הלילה, בתקווה שבעל החשבון לא יענה לשיחה. במידה והשיחה לא נענית, קוד האימות נשמר בתא הקולי. בשלב זה התוקף מתקשר לתא הקולי של בעל החשבון ומנסה להזין סיסמת ברירת מחדל (1234 או 0000), ובמידה וזו הסיסמה התוקף מצליח להשיג גישה לחשבון. במתווה עמוד הדיוג, התוקף שולח מסרונים המתחזים ליישומון, בהם נכתב כי משתמש אחר טוען לבעלות על החשבון. בעל החשבון מתבקש להזין קוד אימות בקישור שנשלח אליו במסרון על-מנת להוכיח שהחשבון שייך לו. כאשר המשתמש עושה זאת הוא למעשה שולח לתוקף את קוד האימות ומאפשר לו גישה לחשבון.

באותו דיווח עלה כבר אז כי "טרם ידועה מטרת התוקפים מעבר להשתלטות על מספר רב של חשבונות". המטרה הראשית היא קבלת קוד האימות של המשתמש, ובסופו של דבר השתלטות על חשבונות רבים ככל האפשר. גורם במשטרת ישראל אמר למגזין לתוך הלילה השבוע כי המשטרה "לא ניתן לפילוח באחוזים, אבל אנחנו רואים ומזהים לאחרונה ומאז החל להתפשט נגיף הקורונה מספר רב של ניסיונות הונאה בנושאים שונים באמצעות שליחת הודעות אס.אמ.אס ומיילים".

מספר דרכים להמנע:
1. אל תשתפו את קוד האימות שלכם, אם החשבון נפרץ – יש לשחזר את הקוד דרך אתר ווטסאפ, ניתן לבקש את הקוד באופן קולי או בהודעה.
2. מומלץ להפעיל את האפשרות לאימות דו-שלבי בווטסאפ. ניתן להפעילה באמצעות בחירה בתפריט הגדרות -> חשבון -> אימות דו-שלבי.
3. זכרו, אף פעם אפליקציה לא תבקש את קוד האימות של מישהו אחר דרככם, משמע, גם אם בן דוד שלך מבקש ממך את קוד האימות "שלו" שהגיע אליך – זה חשוד ובוודאות מדובר בקוד האישי שלך.

About the author

מערכת מגזין לתוך הלילה