בהודעה של רשת הפייסבוק של המערך הוסבר כי מומלץ להפעיל את האפשרות לאימות דו-שלבי ברשת הוואטסאפ. מדובר כנראה במתווה הונאה פשוט לביצוע דרך הרשת החברתית שהתגלה השנה.
מערך הסייבר הלאומי הודיע היום (09.04) כי עלו בשעות האחרונות דיווחים על פריצות בחשבונות וואטסאפ פרטיין של משתמשים ישראליים. ע"פ הדיווח, מדובר כנראה בשיטת הונאה פשוטה לביצוע דרך הרשת החברתית שהתגלתה השנה. באתר המערך נכתב לפני חודשיים כי מתווה ההונאה החדש מבוצע בשתי גרסאות שונות. האחת כוללת שימוש בתא קולי של המכשיר הנייד והשניה מובילה לעמוד דיוג.
- "בכך סיכן את ביטחון המדינה ופגע ביחסי החוץ ובאינטרסים כלכליים של מדינת ישראל"
- לאחר פסיקת בג"ץ בעתירת חוק הגיוס, התנועה לאיכות השלטון פנתה לשר הביטחון ולרמטכ"ל: גייסו באופן מידי את כלל תלמידי הישיבות החרדים
- למרות החשש המתגבר כי מערכות ההגנה האוויריות של ישראל יאותגרו במערכה בצפון, נכון לשעה זו אין שינוי בהנחיות האופרטיביות בדבר חומרים רעילים בנמל חיפה
- לרגע אחד, מאות שנים לאחר שנעלם, חזר הטרבושה לככב ככלי נשק בשדה הקרב בישראל
- בג"ץ הורה על השהיית חקירת המבקר את צה"ל ושב"כ בנוגע למחדלי אירועי ה-7 באוקטובר, בשלב זה של הלחימה
בשימוש בתא הקולי של המכשיר הנייד התוקף מוריד את היישומון ומזין מספר טלפון ישראלי. על מנת להפעיל חשבון קיים הוא מתבקש לבחור בזיהוי באמצעות שיחה טלפונית או באמצעות מסרון. הוא בוחר באימות באמצעות שיחה, בדרך-כלל בשעות הלילה, בתקווה שבעל החשבון לא יענה לשיחה. במידה והשיחה לא נענית, קוד האימות נשמר בתא הקולי. בשלב זה התוקף מתקשר לתא הקולי של בעל החשבון ומנסה להזין סיסמת ברירת מחדל (1234 או 0000), ובמידה וזו הסיסמה התוקף מצליח להשיג גישה לחשבון. במתווה עמוד הדיוג, התוקף שולח מסרונים המתחזים ליישומון, בהם נכתב כי משתמש אחר טוען לבעלות על החשבון. בעל החשבון מתבקש להזין קוד אימות בקישור שנשלח אליו במסרון על-מנת להוכיח שהחשבון שייך לו. כאשר המשתמש עושה זאת הוא למעשה שולח לתוקף את קוד האימות ומאפשר לו גישה לחשבון.
באותו דיווח עלה כבר אז כי "טרם ידועה מטרת התוקפים מעבר להשתלטות על מספר רב של חשבונות". המטרה הראשית היא קבלת קוד האימות של המשתמש, ובסופו של דבר השתלטות על חשבונות רבים ככל האפשר. גורם במשטרת ישראל אמר למגזין לתוך הלילה השבוע כי המשטרה "לא ניתן לפילוח באחוזים, אבל אנחנו רואים ומזהים לאחרונה ומאז החל להתפשט נגיף הקורונה מספר רב של ניסיונות הונאה בנושאים שונים באמצעות שליחת הודעות אס.אמ.אס ומיילים".
מספר דרכים להמנע:
1. אל תשתפו את קוד האימות שלכם, אם החשבון נפרץ – יש לשחזר את הקוד דרך אתר ווטסאפ, ניתן לבקש את הקוד באופן קולי או בהודעה.
2. מומלץ להפעיל את האפשרות לאימות דו-שלבי בווטסאפ. ניתן להפעילה באמצעות בחירה בתפריט הגדרות -> חשבון -> אימות דו-שלבי.
3. זכרו, אף פעם אפליקציה לא תבקש את קוד האימות של מישהו אחר דרככם, משמע, גם אם בן דוד שלך מבקש ממך את קוד האימות "שלו" שהגיע אליך – זה חשוד ובוודאות מדובר בקוד האישי שלך.
