Użytkownicy popularnego komunikatora WhatsApp muszą być czujni wobec perspektywy nowych ataków. Tym razem hakerzy mogą zawiesić dowolne konto, używając wyłącznie numeru powiązanego z nim telefonu. – To zagrożenie, którego nie należy lekceważyć. W czasie, gdy coraz więcej osób komunikuje się i pracuje zdalnie, możliwość blokady konta dowolnego użytkownika to spore zagrożenie – przestrzegają specjaliści ds. cyberbezpieczeństwa ESET.
Mechanizm nowego, potencjalnego ataku jest dość prosty. Zdaniem przedstawicieli WhatsApp można się przed nim chronić, podając adres e-mail w ustawieniach dwustopniowej weryfikacji. Pojawiają się jednak głosy, że aby zapewnić użytkownikom pełne bezpieczeństwo, luka w domyślnym procesie weryfikacji powinna zostać usunięta.
Jak działa mechanizm ataku? Kiedy po raz pierwszy następuje proces konfigurowania konta WhatsApp, na urządzeniu pojawia się prośba o podanie swojego numeru telefonu, na który wysyłany jest kod weryfikacyjny. Jeśli jakaś osoba będzie chciała użyć dowolnego, nienależącego do niej numeru telefonu w procesie weryfikacji, może to zrobić. Gdy go poda, pełnoprawny właściciel telefonu otrzyma wiadomości od WhatsApp z kodem weryfikacyjnym, wraz z zastrzeżeniem, aby nie przekazywać go nikomu. Przestępca jest w stanie aktywować ten mechanizm wielokrotnie, podczas gdy nieświadomy użytkownik może traktować ciągłe monity jako błąd aplikacji. Żądania spowodują ograniczenie przez WhatsApp liczby wysyłanych kodów poprzez zablokowanie kodów po kilku błędnych próbach na okres 12 godzin. Blokada wpłynie również na użytkownika, chociaż może on tego nie zauważyć, chyba że wyloguje się w międzyczasie z aplikacji.
W następnym kroku, atakujący tworzy nowy adres e-mail i wysyła wiadomość mailową do zespołu pomocy WhatsApp w temacie rzekomo „zgubionego” lub „skradzionego telefonu”, prosząc o dezaktywację numeru prawowitego właściciela konta. Platforma weryfikuje „tożsamość” atakującego tylko poprzez wysłanie automatycznej wiadomości e-mail z żądaniem ponownego podania numeru. Jeśli atakujący to zrobi, WhatsApp zawiesi wówczas konto właściciela telefonu. A ponieważ został osiągnięty limit prób weryfikacji, użytkownik nie będzie mógł się zalogować, dopóki nie upłynie 12 godzin. Niestety, jeśli osoba atakująca użyje 12-godzinnego cyklu trzy razy z rzędu, WhatsApp zamiast informować użytkownika powiadomieniem „spróbuj ponownie po 12 godzinach”, ulegnie awarii i wyświetli komunikat „spróbuj ponownie po -1 sekundach”. Jeśli cyberprzestępca dotrze do tego momentu, nie będzie możliwości odzyskania konta bez pomocy konsultantów WhatsApp.
Specjaliści ds. cyberbezpieczeństwa ESET już w ubiegłym roku wskazywali, jak ktoś może przejąć kontrolę nad kontem WhatsApp, znając tylko numer telefonu użytkownika. Teraz podkreślają, że luki w procesie weryfikacji nie należy lekceważyć, zwłaszcza że może mieć wpływ na miliony użytkowników.
- Pojawiają się głosy, że ta forma ataku nie może prowadzić do żadnych wyłudzeń i przynieść hakerom wymiernych korzyści. Można sobie jednak wyobrazić scenariusze, w których zablokowanie konta WhatsApp niesie dla cyberprzestępców wartość samą w sobie, a użytkownikom przynosi straty różnego rodzaju. Atakujący czasem czerpią satysfakcję z działań wywołujących ogólny chaos i zaniepokojenie. W dobie dominacji komunikacji na odległość, możliwość blokady kont użytkowników to realna broń. Pamiętajmy, że pandemia sprawiła, iż coraz więcej, także tych mniej sprawnych technicznie i wyczulonych na cyberzagrożenia osób, sięga po narzędzia do komunikacji zdalnej. Przestępcy doskonale o tym wiedzą i nie będą mieli skrupułów, aby wykorzystać dostępne opcje do swoich celów – podsumowuje Kamil Sadkowski, specjalista ds. cyberbezpieczeństwa ESET.