rssyoutubefg

חשבונות וואטסאפ ישראלים נפרצו; האם זו רק ההתחלה?

ESET ישראל
03.10.18

אמש (יום ג') דיווח מטה הסייבר הלאומי על פריצה לחשבונות וואטסאפ פרטיים של ישראלים. ככל הנראה נוצלה שיטה להשתלטות על חשבונות וואטסאפ באמצעות פריצה למשיבון הסלולרי של הלקוח שדווחה בישראל כבר לפני שנה. ניצול התא הקולי יכול לאפשר פריצה לחשבונות נוספים.

מדובר בפריצה לחשבונות וואטסאפ דרך התא הקולי של המשתמש. התוקפים בעצם מנצלים את האפשרות להעביר את חשבון הוואטסאפ, שדורשת הקלדה של סיסמה שמתקבלת ב SMS. אם מציינים שההודעה לא התקבלה, ניתן לקבל את הסיסמה גם באמצעות הודעה קולית שבה מושמעת סיסמה חד פעמית.

מאותו הרגע שהתוקף מעביר את החשבון לשליטתו, לא ניתן להעביר אותו בחזרה משום שהבעלים ה"חוקי" של חשבון הוואטסאפ יידרש להקליד את אותה הסיסמה החד פעמית כדי להעביר את החשבון, וכמובן שהתוקף לא יאפשר גישה לתא הקולי שלו. האפשרות היחידה תהיה לפנות לתמיכה של וואטסאפ.

איך זה עובד?

לכל מי שיש טלפון סלולרי שמשויך לחברת סלולר ישראלית יש גם תא קולי, גם אם לא ביקש אותו. קיימת אפשרות לגשת לתא הקולי מהטלפון שמשויך אליו, וגם מטלפונים אחרים כברירת מחדל. בנוסף לכך מוגדרת תמיד סיסמת ברירת מחדל שהיא בדרך כלל 0000 או 1234 או 1111. כך ניתן להתקשר לטלפון ולבדוק אם יש לו מענה קולי באמצעות חיוג לכוכבית 151 ואז מספר הטלפון.

לאחר מכן מתזמנים את ההתקפה לשעה שבה הקורבן יהיה לא זמין בסבירות גבוהה, כמו באמצע הלילה.

לאחר שהקורבן לא עונה ומוקלטת ההודעה הקולית עם הסיסמה החד פעמית, התוקף מיד משתמש בה כדי להעביר את החשבון וואטסאפ לשליטתו.

אמיר כרמי, מנהל הטכנולוגיות שלנו מסביר כי "חשוב להבין שהניצול של התא הקולי לצורך חטיפת חשבונות יכול להתבצע לא רק בהקשר של וואטסאפ. ניתן להשתמש בשיטה זהה כדי לחטוף חשבונות של גוגל, מיקרוסופט, אפל ו- Paypal".

איך מתגוננים?

ניתן לשנות את הסיסמה או להגדיר מול חברת הסלולר שלא יהיה ניתן לגשת לתא הקולי ממספר טלפון אחר.

אבל מומלץ לבטל לחלוטין את התיבה הקולית מול חברת הסלולר, במיוחד כאשר מדובר בשירות שרובנו לא משתמשים בו.

עוד מוסיף כרמי "הסיבה שמומלץ לבטל אותו לחלוטין היא שבכנס אבטחת המידע DEF CON שנערך בחודש אוגוסט האחרון, הציג חוקר אבטחת מידע בשם מרטין ויגו כלי שמאפשר פריצה של סיסמה לתא הקולי באופן אוטומטי. הכלי זמין לציבור הרחב מאז אוגוסט וכל אדם בעל ידע בסיסי יחסית במחשבים יוכל להשתמש בו כדי לפרוץ סיסמא של תא קולי, גם אם הוחלפה סיסמת ברירת המחדל."

כדי לאבטח את וואטסאפ טוב יותר מחטיפת החשבון, ניתן להגדיר אימות דו שלבי שידרוש הקלדה של סיסמה בת 6 ספרות בכל שינוי שמתבצע בחשבון הוואטסאפ. כדי להפעיל את האפשרות לאימות דו-שלבי באפליקציית ה-Whatsapp. בחרו בתפריט הגדרות> חשבון> אימות דו-שלבי. בנוסף תידרש כתובת אימייל בתור גיבוי למקרה שהמשתמש שכח את הסיסמה.

  • הדפס
  • דוא"ל

3 תגובות

  • קישור לתגובה 04.11.18 פורסם ע"י ESET

    Hi Martin
    Thank you for contacting us.
    Unfortunately our materials are available only in Hebrew and are not translated to English.
    You can get important security articles in English through our global blog http://www.welivesecurity.com

  • קישור לתגובה 04.11.18 פורסם ע"י קובי אביב

    אז מה יקרה שנוסעים לחו"ל ועוברים לסים מקומי? איך הווטסאפ ימשיך לתפקד?

  • קישור לתגובה 01.11.18 פורסם ע"י Martin Lewis

    I am a satisfied user, for about six years, of ESET Anti Virus/Internet Security on both my PC and Laptop. When I renewed my subscriptions in September I again asked that you send me emails and newsletters, etc IN ENGLISH. My Hebrew is not fluent and anything of interest /importance is either missed or subject to Google (mis!)-translation. Thank You

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום