אמש (ג') דיווח מטה הסייבר הלאומי על פריצה לחשבונות וואטסאפ של ישראלים. ככל הנראה נוצלה שיטה להשתלטות על חשבונות וואטסאפ באמצעות פריצה למשיבון הסלולרי של הלקוח שדווחה בישראל כבר לפני שנה. ניצול התא הקולי יכול לאפשר פריצה לחשבונות נוספים.
מדובר בפריצה לחשבונות וואטסאפ דרך התא הקולי של המשתמש. התוקפים בעצם מנצלים את האפשרות להעביר את חשבון הוואטסאפ, שדורשת הקלדה של סיסמה שמתקבלת ב SMS. אם מציינים שההודעה לא התקבלה, ניתן לקבל את הסיסמה גם באמצעות הודעה קולית שבה מושמעת סיסמה חד פעמית.
מאותו הרגע שהתוקף מעביר את החשבון לשליטתו, לא ניתן להעביר אותו בחזרה משום שהבעלים ה"חוקי" של חשבון הוואטסאפ יידרש להקליד את אותה הסיסמה החד פעמית כדי להעביר את החשבון, וכמובן שהתוקף לא יאפשר גישה לתא הקולי שלו. האפשרות היחידה תהיה לפנות לתמיכה של וואטסאפ.
איך זה עובד?
לכל מי שיש טלפון סלולרי שמשויך לחברת סלולר ישראלית יש גם תא קולי, גם אם לא ביקש אותו. קיימת אפשרות לגשת לתא הקולי מהטלפון שמשויך אליו, וגם מטלפונים אחרים כברירת מחדל. בנוסף לכך מוגדרת תמיד סיסמת ברירת מחדל שהיא בדרך כלל 0000 או 1234 או 1111. כך ניתן להתקשר לטלפון ולבדוק אם יש לו מענה קולי באמצעות חיוג לכוכבית 151 ואז מספר הטלפון.
לאחר מכן מתזמנים את ההתקפה לשעה שבה הקורבן יהיה לא זמין בסבירות גבוהה, כמו באמצע הלילה. לאחר שהקורבן לא עונה ומוקלטת ההודעה הקולית עם הסיסמה החד פעמית, התוקף מיד משתמש בה כדי להעביר את החשבון וואטסאפ לשליטתו.
אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע ESET בישראל מתריע "חשוב להבין שהניצול של התא הקולי לצורך חטיפת חשבונות יכול להתבצע לא רק בהקשר של וואטסאפ. ניתן להשתמש בשיטה זהה כדי לחטוף חשבונות של גוגל, מיקרוסופט, אפל ו- Paypal".
איך מתגוננים?
ניתן לשנות את הסיסמה או להגדיר מול חברת הסלולר שלא יהיה ניתן לגשת לתא הקולי ממספר טלפון אחר. אבל מומלץ לבטל לחלוטין את התיבה הקולית מול חברת הסלולר, במיוחד כאשר מדובר בשירות שרובנו לא משתמשים בו.
עוד מוסיף כרמי "הסיבה שמומלץ לבטל אותו לחלוטין היא שבכנס אבטחת המידע DEF CON שנערך בחודש אוגוסט האחרון, הציג חוקר אבטחת מידע בשם מרטין ויגו כלי שמאפשר פריצה של סיסמה לתא הקולי באופן אוטומטי. הכלי זמין לציבור הרחב מאז אוגוסט וכל אדם בעל ידע בסיסי יחסית במחשבים יוכל להשתמש בו כדי לפרוץ סיסמא של תא קולי, גם אם הוחלפה סיסמת ברירת המחדל."
כדי לאבטח את וואטסאפ טוב יותר מחטיפת החשבון, ניתן להגדיר אימות דו שלבי שידרוש הקלדה של סיסמה בת 6 ספרות בכל שינוי שמתבצע בחשבון הוואטסאפ. כדי להפעיל את האפשרות לאימות דו-שלבי באפליקציית ה-Whatsapp. בחרו בתפריט הגדרות> חשבון> אימות דו-שלבי. בנוסף תידרש כתובת אימייל בתור גיבוי למקרה שהמשתמש שכח את הסיסמה.
אבל מהרגע שהססמא הגיע למענה הקולי, איך הפורץ משיג את ההודעה הקולית?