גל מתקפות על משתמשים ישראלים – בחטיפת חשבונות ווטסאפ

באחד הערבים האחרונים נשלחה הודעה במסגרת קבוצת ווטסאפ בית ספרית. היה זה הטלפון של ט'. הוא שינה מספר לקידומת +963, הקידומת של סוריה. רק דקות אחר כך יתברר מה קרה, אבל באותו הרגע שונה שמה של קבוצת הווטסאפ. ONLY VIRUS היה השם שקרא ההאקר לקבוצה – והשם המקורי נעלם.

הודעות בערבית התחילו לזרום בקצב ורמת החשש בקרב ההורים טיפסה. עידו נאור, חוקר בכיר במעבדת קספרסקי, וגם חבר בקבוצת הווטסאפ, החל לחקור וגילה כי במסגרת ניסיון להשתלט על מספרי טלפון לצורך איסוף מידע – הצליח ההאקר להשתלט על חשבון הווטסאפ של ט', אחת החברות בקבוצה, ולשלוח הודעות בשמה לאנשי קשר ולקבוצות בהן היא חברה.

להלן הדרך בה התבצע תהליך גניבת החשבון: בשלב הראשון, התוקף מוריד את אפליקציית ווטסאפ לטלפון פיקטיבי ומצהיר שהמספר (שלכם) הוא שלו. לאחר מכן הקורבן מקבל הודעת SMS, שהיא חלק מתהליך האימות הדו-שלבי, אשר נועד למנוע מצבי חטיפה של חשבונות. במקביל, התוקף פונה לקורבן ומשדל אותו לשלוח לו את ששת הספרות המופיעות בהודעה, או ללחוץ על הלינק בהודעה. בשלב הבא, למרות שבהודעת ה-SMS כתובה חד משמעית האזהרה "לא לשתף את הקוד עם אף אחד", הרי שבפועל – לא מעט משתמשים נופלים קורבן ומשתפים את הקוד עם התוקף. אז, לאחר קבלת הקוד, ההאקר מזין את ששת הספרות בטלפון הפיקטיבי שלו – וכך הוא מקבל שליטה מלאה על חשבון הווטסאפ של הקורבן. ההשתלטות הושלמה.

ההודעה בווטסאפ. צילום מסך

לדברי נאור, לא מדובר בוירוס, או בסוס טרויאני, אלא בשיטה שנקראת הנדסה אזרחית (Social Engineering), שמטרתה להתל בקורבן כדי לשכנעו לציית לבקשות התוקף, על מנת שיבצע פעולה שהוא אינו מודע להשלכותיה. את דרך הפעולה של התוקף חווה נאור בעצמו. "אחרי שהשתלט על חשבון הווצאפ של ט', המשיך התוקף לפנות לכל חברי הקבוצה", אמר נאור, "במצב כזה, כאשר נפל קורבן אחד בקבוצה, החוכמה היא לעצור את השטף”. מאחר ובמקרים רבים התוקף אינו משנה את שם החשבון, הפניה מהתוקף תיראה כפניה תמימה של חבר, או אחד מאנשי הקשר – מה שיגדיל את הסבירות להיענות לבקשתו.

לפי נאור, "מסתבר שאין כרגע דרך לקבל חזרה שליטה על חשבון שנחטף. מה שאומר שלתוקף תישאר הגישה לכל פרטי חשבון הווטסאפ, ההודעות ואנשי הקשר – והוא יכול ליצור קשר באין מפריע עם אנשי הקשר, תחת זהותו של הקורבן".

אין אפשרות לאחזר

מהבדיקה עוד עולה כי במקרה של חטיפת חשבונות אין אפשרות לאחזר אותם. בעל החשבון המקורי יכול אומנם לפתוח חשבון ווטסאפ חדש, ללא כל הקבוצות שהיה חבר בהן, אך פרטי החשבון, על כל המשתמע מכך – נשארים ברשות החוטף.

דוגמאות נוספות לחטיפות חשבונות אותרו בשבוע האחרון בישראל ובאירופה, ופורומים מקומיים מתמלאים בימים האחרונים בבקשות עזרה. פניות לווטסאפ לא נענו.

נאור מייעץ כי "אם קיבלתם הודעת SMS המכילה קוד אימות (ראו בתמונה שלהלן) אין לשלוח אותה לאיש ויש להתעלם ממנה. הקוד יאבד מערכו תוך זמן קצר וההאקר יעלם. התעלמו!"