Connect with us

מתקפות סייבר

האקרים השתלטו על קבוצת הוואטסאפ של הורים בכיתה בה חבר חוקר ישראלי – הוא נכנס לבדוק וגילה שיטת תקיפה חדשה שמתפשטת בעולם

פורסם

ב-

עידו נאור, החוקר הישראלי בצוות המחקר הבינלאומי של מעבדת קספרסקי, נחשף בזמן אמת להתקפה חדשה של השתלטות על חשבונות ווטסאפ. הוא מתריע: אם קיבלתם הודעת SMS המכילה קוד אימות אין לשלוח אותה לאף אחד

באחד הערבים האחרונים נשלחה הודעה במסגרת קבוצת ווצאפ בית ספרית. היא הגיעה מהטלפון של ט' שלפתע גם שינה את המספר שלו לכזה עם קידומת +963, הקידומת של סוריה. גם שם הקבוצה השתנה ל ONLY VIRUS. זאת תחילתה של התקפה חדשה.

הודעות בערבית התחילו לזרום לקבוצמה בקצב, ורמת החשש בקרב ההורים טיפסה. עידו נאור, חוקר בכיר במעבדת קספרסקי, ובמקרה גם חבר בקבוצת הווצאפ, התחיל לחקור וגילה כי במסגרת ניסיון להשתלט על מספרי טלפון לצורך איסוף מידע, הצליח ההאקר להשתלט על חשבון הווצאפ של ט', אחת החברות בקבוצה, ולשלוח הודעות בשמה לאנשי קשר ולקבוצות בהן היא חברה. 

אז איך מתבצע תהליך גניבת החשבון ?

  • התוקף מוריד את אפליקציית ווצאפ לטלפון פיקטיבי ומצהיר שהמספר (שלכם) הוא שלו.
  • הקורבן מקבל הודעת SMS שהיא חלק מתהליך האימות הדו שלבי, אשר נועד למנוע מצבי חטיפה של חשבונות. במקביל, התוקף פונה לקורבן ומשדל אותו לשלוח לו את ששת הספרות המופיעות בהודעה או ללחוץ על הלינק בהודעה.
  • למרות שבהודעת ה-SMS כתובה חד משמעית האזהרה "לא לשתף את הקוד עם אף אחד", בפועל, לא מעט משתמשים נופלים קורבן ומשתפים את הקוד עם התוקף.
  • לאחר קבלת הקוד, מזין ההאקר את ששת הספרות בטלפון הפיקטיבי שלו ומקבל שליטה מלאה על חשבון הווצאפ של הקורבן. ההשתלטות הושלמה.

לדברי נאור, לא מדובר בוירוס, או בסוס טרויאני, אלא בשיטה שנקראת Social Engineering, שמטרתה להתל בקורבן כדי לשכנעו לציית לבקשות התוקף על מנת שיבצע פעולה שאינו מודע להשלכותיה. את דרך הפעולה של התוקף חווה נאור בעצמו. "אחרי שהשתלט על חשבון הווצאפ של ט', המשיך התוקף לפנות לכל חברי הקבוצה", מסביר נאור. "במצב כזה, כאשר נפל קורבן אחד בקבוצה, החוכמה היא לעצור את השטף”. מאחר ובמקרים רבים התוקף אינו משנה את שם החשבון, הפניה מהתוקף תיראה כפניה תמימה של חבר או אחד מאנשי הקשר, מה שיגדיל את הסבירות להיענות לבקשתו.

והבעיה לא מסתיימת כאן. מבדיקה שעשה נאור, מסתבר שאין כרגע דרך לקבל חזרה שליטה על חשבון שנחטף. מה שאומר שלתוקף תישאר הגישה לכל פרטי חשבון הווצאפ, ההודעות ואנשי הקשר, והוא יכול ליצור קשר באין מפריע עם אנשי הקשר, תחת זהותו של הקורבן.

מהבדיקה עוד עולה כי במקרה של חטיפת חשבונות אין אפשרות לאחזר אותם. בעל החשבון המקורי יכול אומנם לפתוח חשבון ווצאפ חדש, ללא כל הקבוצות שהיה חבר בהן, אך פרטי החשבון, על כל המשתמע מכך, נשארים ברשות החוטף.

דוגמאות נוספות לחטיפות חשבונות אותרו בשבוע האחרון בישראל ובאירופה, ופורומים מקומיים מתמלאים בימים האחרונים בבקשות עזרה. פניות לווצאפ לא נענו.

Advertisement

אם קיבלתם הודעת SMS המכילה קוד אימות (כפי שמופיע בתמונה שלהלן) אין לשלוח אותה לאף אחד ויש להתעלם ממנה. הקוד יאבד מערכו תוך זמן קצר וההאקר יעלם. התעלמו!

Continue Reading