הודעה שהועברה ברשתות חברתיות, צילום מסך

שימו לב: דיווחים על גל התקפות על משתמשים ישראלים בוואטסאפ

ישראלים על הכוונת: בימים האחרונים זוהתה מתקפת וואטסאפ חדשה שמכוונת נגד ישראלים בוואטאספ שמובילה לחטיפת חשבונות. הבעיה? לא ניתן להשיב חשבון שנחטף. לכל הפרטים

חוקר ישראלי של חברת האבטחה מעבדות קספרסקי זיהה פעילות חשודה בקבוצת וואטאספ בית ספרית. הגילוי הזה הוביל לחשיפה של גל התקפות על ישראלים שמתרחש בימים האחרונים.

עידו נאור, חוקר בכיר במעבדת קספרסקי, זיהה פעילות חשודה בקבוצת הוואטסאפ הבית ספרית אליה הוא משתייך. מסתבר שבאחד הערבים האחרונים נשלחה הודעה במסגרת הקבוצה - מתוך מספר סלולרי של חבר קבוצה בשם ט' (השם המלא שמור במערכת).  מסתבר ש ט' שינה את המספר שלו לקידומת +963, הקידומת של סוריה. מספר רגעים לאחר מכן ושם קבוצת הוואטסאפ ההורית נמחק ושונה לשם  - ONLY VIRUS . וכך הודעות בערבית התחילו לזרום בקצב ורמת החשש בקרב ההורים בקבוצה טיפסה.

 קבוצת ההואטסאפ של נאור

קבוצת הוואטסאפ של נאור ( צילום מסך)

 

נאור, כאמור איש סייבר, החל לחקור וגילה כי מה שארע הוא  שבמסגרת ניסיון להשתלט על מספרי טלפון לצורך איסוף מידע, הצליח ההאקר להשתלט על חשבון הווצאפ של ט', אחת החברות בקבוצה, ולשלוח הודעות בשמה לאנשי קשר ולקבוצות בהן היא חברה.  לדברי נאור, לא מדובר בוירוס, או בסוס טרויאני, אלא בשיטה שנקראת Social Engineering, שמטרתה להתל בקורבן כדי לשכנעו לציית לבקשות התוקף על מנת שיבצע פעולה שאינו מודע להשלכותיה. 

אז איך מתבצע תהליך גניבת החשבון ? ובכן כך נתאר זאת נאור: "התוקף מוריד את אפליקציית ווצאפ לטלפון פיקטיבי ומצהיר שהמספר (שלכם) הוא שלו. לאחר מכן הקורבן מקבל הודעת SMS שהיא חלק מתהליך האימות הדו שלבי, אשר נועד למנוע מצבי חטיפה של חשבונות. במקביל, התוקף פונה לקורבן ומשדל אותו לשלוח לו את ששת הספרות המופיעות בהודעה או ללחוץ על הלינק בהודעה (ראו בתצלום מטה). 

 ההאקר פונה לקורבן

ההאקר פונה לקורבן ( צילום מסך)

 

למרות שבהודעת ה-SMS כתובה חד משמעית האזהרה "לא לשתף את הקוד עם אף אחד", בפועל, לא מעט משתמשים נופלים קורבן ומשתפים את הקוד עם התוקף.  לאחר קבלת הקוד, מזין ההאקר את ששת הספרות בטלפון הפיקטיבי שלו ומקבל שליטה מלאה על חשבון הווצאפ של הקורבן. ההשתלטות הושלמה".

אם קיבלתם הודעת SMS המכילה קוד אימות (כפי שמופיע בתמונה שלהלן) אין לשלוח אותה לאף אחד ויש להתעלם ממנה. הקוד יאבד מערכו תוך זמן קצר וההאקר יעלם

"אחרי שהשתלט על חשבון הווצאפ של ט', המשיך התוקף לפנות לכל חברי הקבוצה", מסביר נאור. "במצב כזה, כאשר נפל קורבן אחד בקבוצה, החוכמה היא לעצור את השטף”. מאחר ובמקרים רבים התוקף אינו משנה את שם החשבון, הפניה מהתוקף תיראה כפניה תמימה של חבר או אחד מאנשי הקשר, מה שיגדיל את הסבירות להיענות לבקשתו.

 קוד האימות שנשלח לגולשים

קוד האימות שנשלח לגולשים (צילום מסך)

 

אז מה עושים ובכן, אם קיבלתם הודעת SMS המכילה קוד אימות (כפי שמופיע בתמונה מעלה) אין לשלוח אותה לאף אחד ויש להתעלם ממנה. הקוד יאבד מערכו תוך זמן קצר וסביר להניח שההאקר יעלם.מבדיקה שעשה נאור, מסתבר שאין כרגע דרך לקבל חזרה שליטה על חשבון שנחטף. מה שאומר שלתוקף תישאר הגישה לכל פרטי חשבון הווצאפ, ההודעות ואנשי הקשר, והוא יכול ליצור קשר באין מפריע עם אנשי הקשר, תחת זהותו של הקורבן.  עוד עולה מהבדיקה? נראה כי במקרה של חטיפת חשבונות אין אפשרות לאחזר אותם. בעל החשבון המקורי יכול אומנם לפתוח חשבון ווצאפ חדש, ללא כל הקבוצות שהיה חבר בהן, אך פרטי החשבון, על כל המשתמע מכך, נשארים ברשות החוטף. 

הודעת אזהרה שנמצאה באחד הפורומים

הודעת אזהרה שנמצאה באחד הפורומים (צילום מסך)

 

נאור מציין כי דוגמאות נוספות לחטיפות חשבונות אותרו בשבוע האחרון בישראל ובאירופה, ופורומים מקומיים מתמלאים בימים האחרונים בבקשות עזרה. נאור אף מציין כי כל פניה שנעשתה לוואטאספ כלל לא נענתה.