החל מאמש: פריצות רבות לחשבונות ווטסאפ של ישראלים
רובנו לא משתמשים במשיבון שחברות הסלולר נותנות לנו כברירת מחדל ● ההאקרים יודעים את זה ומנצלים זאת היטב ● באחרונה הם החלו לפרוץ למשיבונים של משתמשים ישראליים רבים, ובדרך זו להשתלט על חשבונות הווטסאפ שלהם - כך דיווח מערך הסייבר הלאומי
ב-CERT הלאומי התקבלו באחרונה דיווחים אודות פריצות לחשבונות ווטסאפ פרטיים של ישראלים – כך מסר אמש (ג') מערך הסייבר הלאומי במשרד ראש הממשלה.
אחת הדרכים להשתלטות על חשבון ווטסאפ היא על ידי פריצה למשיבון הסלולרי של המשתמש – אם הוא לא שינה את סיסמת ברירת המחדל לגישה למשיבון זה.
מערך הסייבר מסר כי "אם אתם משתמשים בשירות תא קולי, שנו בהקדם את סיסמת ברירת המחדל. אם מבוצע שימוש בשירות, מומלץ לבטלו. כמו כן, מומלץ להפעיל את האפשרות לאימות דו-שלבי באפליקציית הווטסאפ. ניתן להפעילה באמצעות בחירה בתפריט הגדרות —> חשבון —> אימות דו-שלבי".
במערך הרחיבו והסבירו כי "מענה קולי היה שירות פופולרי מאוד לפני עידן ה-SMS והמסרים המידיים. על אף שמשתמשים רבים אינם עושים בו כלל שימוש בימינו, חברות הסלולר עדיין מאפשרות שירות זה למשתמשים כברירת מחדל. שירות זה, שרבים מהמשתמשים שכחו מקיומו, כולל בדרך כלל הזדהות ברירת מחדל באמצעות סיסמה כגון 0000 או 1234. תוקף עלול לנצל עובדות אלה להשגת שליטה בחשבון ווטסאפ של המותקף, או בכל שירות אחר, המאפשר אימות הזהות לשירות באמצעות משלוח SMS בלבד, עם אופציה להמרה של ה-SMS בשיחה קולית".
"ניתן להשתמש בשיטה דומה לפריצה לחשבונות נוספים"
ב-ESET ישראל אמרו כי "השיטה להשתלטות על חשבונות וואטסאפ באמצעות פריצה למשיבון הסלולרי של הלקוח דווחה בישראל כבר לפני שנה. ניצול התא הקולי יכול לאפשר פריצה לחשבונות נוספים. מהרגע שהתוקף מעביר את החשבון לשליטתו, לא ניתן להעבירו בחזרה, משום שהבעלים ה-'חוקי' יידרש להקליד את אותה הסיסמה החד פעמית כדי להעביר את החשבון, וכמובן שהתוקף לא יאפשר גישה לתא הקולי שלו. האפשרות היחידה תהיה לפנות לתמיכה של ווטסאפ".
לדברי אמיר כרמי, מנהל טכנולוגיות ב-ESET ישראל, "חשוב להבין שניצול התא הקולי לצורך חטיפת חשבונות יכול להתבצע לא רק בהקשר של ווטסאפ. ניתן להשתמש בשיטה זהה כדי לחטוף חשבונות בגוגל, מיקרוסופט, אפל ו-PayPal".
הוא הציע מספר צעדים להתגוננות מפני מקרים כאלה: "ניתן לשנות את הסיסמה או להגדיר מול חברת הסלולר שלא יהיה ניתן לגשת לתא הקולי ממספר טלפון אחר. אולם, מומלץ לבטל לחלוטין את התיבה הקולית מול חברת הסלולר, במיוחד כשמדובר בשירות שרובנו לא משתמשים בו".
כרמי הוסיף כי "בכנס אבטחת המידע Def Con, שנערך באוגוסט האחרון, הציג חוקר אבטחת המידע מרטין ויגו כלי שמאפשר פריצה של סיסמה לתא הקולי באופן אוטומטי. הכלי זמין לציבור הרחב מאז אוגוסט וכל אדם בעל ידע בסיסי יחסית במחשבים יכול להשתמש בו כדי לפרוץ סיסמה של תא קולי, גם אם הוחלפה סיסמת ברירת המחדל".
תגובות
(0)