eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetNowe zagrożenie na WhatsApp. Bądź czujny!

Nowe zagrożenie na WhatsApp. Bądź czujny!

2021-04-16 11:50

Nowe zagrożenie na WhatsApp. Bądź czujny!

Nowe zagrożenie dla użytkowników WhatsApp © pixabay.com

Eksperci z firmy ESET ostrzegają przed nowym zagrożeniem na WhatsApp. Hakerzy mogą zawiesić dowolne konto, używając wyłącznie numeru powiązanego z nim telefonu. Użytkownicy tego komunikatora powinni więc zachować czujność.

Przeczytaj także: Brand phishing w III kw. 2024. Microsoft, Apple i Google w czołówce

Zdaniem przedstawicieli WhatsApp przed atakiem można się chronić, podając adres e-mail w ustawieniach dwustopniowej weryfikacji. Wydaje się jednak, że lepszym rozwiązaniem byłoby usunięcie luki w domyślnym procesie weryfikacji.

Jak działa mechanizm ataku? Kiedy po raz pierwszy następuje proces konfigurowania konta WhatsApp, na urządzeniu pojawia się prośba o podanie swojego numeru telefonu, na który wysyłany jest kod weryfikacyjny. Jeśli jakaś osoba będzie chciała użyć dowolnego, nienależącego do niej numeru telefonu w procesie weryfikacji, może to zrobić. Gdy go poda, pełnoprawny właściciel telefonu otrzyma wiadomości od WhatsApp z kodem weryfikacyjnym, wraz z zastrzeżeniem, aby nie przekazywać go nikomu. Przestępca jest w stanie aktywować ten mechanizm wielokrotnie, podczas gdy nieświadomy użytkownik może traktować ciągłe monity jako błąd aplikacji. Żądania spowodują ograniczenie przez WhatsApp liczby wysyłanych kodów poprzez zablokowanie kodów po kilku błędnych próbach na okres 12 godzin. Blokada wpłynie również na użytkownika, chociaż może on tego nie zauważyć, chyba że wyloguje się w międzyczasie z aplikacji.

fot. pixabay.com

Nowe zagrożenie dla użytkowników WhatsApp

Hakerzy mogą zawiesić dowolne konto, używając wyłącznie numeru powiązanego z nim telefonu.


W następnym kroku, atakujący tworzy nowy adres e-mail i wysyła wiadomość mailową do zespołu pomocy WhatsApp w temacie rzekomo „zgubionego” lub „skradzionego telefonu”, prosząc o dezaktywację numeru prawowitego właściciela konta. Platforma weryfikuje „tożsamość” atakującego tylko poprzez wysłanie automatycznej wiadomości e-mail z żądaniem ponownego podania numeru. Jeśli atakujący to zrobi, WhatsApp zawiesi wówczas konto właściciela telefonu. A ponieważ został osiągnięty limit prób weryfikacji, użytkownik nie będzie mógł się zalogować, dopóki nie upłynie 12 godzin. Niestety, jeśli osoba atakująca użyje 12-godzinnego cyklu trzy razy z rzędu, WhatsApp zamiast informować użytkownika powiadomieniem „spróbuj ponownie po 12 godzinach”, ulegnie awarii i wyświetli komunikat „spróbuj ponownie po -1 sekundach”. Jeśli cyberprzestępca dotrze do tego momentu, nie będzie możliwości odzyskania konta bez pomocy konsultantów WhatsApp.

Specjaliści ds. cyberbezpieczeństwa ESET już w ubiegłym roku wskazywali, jak ktoś może przejąć kontrolę nad kontem WhatsApp, znając tylko numer telefonu użytkownika. Teraz podkreślają, że luki w procesie weryfikacji nie należy lekceważyć, zwłaszcza że może mieć wpływ na miliony użytkowników.
Pojawiają się głosy, że ta forma ataku nie może prowadzić do żadnych wyłudzeń i przynieść hakerom wymiernych korzyści. Można sobie jednak wyobrazić scenariusze, w których zablokowanie konta WhatsApp niesie dla cyberprzestępców wartość samą w sobie, a użytkownikom przynosi straty różnego rodzaju. Atakujący czasem czerpią satysfakcję z działań wywołujących ogólny chaos i zaniepokojenie. W dobie dominacji komunikacji na odległość, możliwość blokady kont użytkowników to realna broń. Pamiętajmy, że pandemia sprawiła, iż coraz więcej, także tych mniej sprawnych technicznie i wyczulonych na cyberzagrożenia osób, sięga po narzędzia do komunikacji zdalnej. Przestępcy doskonale o tym wiedzą i nie będą mieli skrupułów, aby wykorzystać dostępne opcje do swoich celów – podsumowuje Kamil Sadkowski, specjalista ds. cyberbezpieczeństwa ESET.

oprac. : eGospodarka.pl eGospodarka.pl

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: