הונאת הספאם ווטסאפ החדשה מנצלת חולשה בווטסאפ

ליקוי בווטסאפ מאפשר זיוף של כתובת ב(עוד) התקפת ספאם. שימו לב - שלא תיפלו בפח.
שימו לב לכתובת השגויה כפי שהיא מופיעה בפרטים

עוד גל של הונאת ווטסאפ עושה את דרכו לחופי ארצנו והפעם הוא רוכב על באג מעניין במיוחד של ווטסאפ.

הונאת הווטסאפ התורנית מתחזה להודעה מטעם ביטוח לאומי על החזר כספי. ההודעה נראית כך:

אלה שעבדו בין השנים 1990 ו -2018 זכאים לקבל 9,000 ש"ח מהמוסד לביטוח לאומי.בדוק אם שמך מופיע ברשימת האנשים הזכאים להטבה זו!
הודעת ספאם מביטוח לאומי – שימו לב לכתובת מתחת לפרטי האתר

אם תלחצו על הקישור, תגיעו לאתר שמתחזה לאתר ׳ביטוח לאומי׳:

אתר מזויף של ביטוח לאומי
אתר מזויף של ביטוח לאומי

כאן כמובן נצטרך לענות על שלוש שאלות סתמיות ואחרי המענה, נתבשר שמגיע לנו החזר כספי. כל מה שצריך לעשות הוא להפיץ את ההודעה…

איך להשיג את התועלת? נו באמת
איך להשיג את התועלת? נו באמת

לאורך כל הדרך יש פרסומות שקל להתבלבל וללחוץ עליהן. אחרי ההפצה הקורבן מובל לאתר שבו הוא נדרש להתקין אפליקציה בהתאם למכשיר שלך. הפתעה הפתעה! האפליקציה היא חוקית (של עלי אקספרס) במקרה של אייפון ואפליקציה מפוקפקת במקרה שמדובר במחשב/אנדרואיד.

הטוויסט (או למה אני כותב על זה)

אחד הדברים שאנחנו לומדים ומלמדים כאשר מדובר בהודעת פישינג/ספאם וסקאם זה להסתכל על הקישור של ההודעה. אך מה יעשה הקורבן האומלל כאשר הוא מקבל הודעה בסגנון הזה? ראיתם מה הכתובת של האתר?

אם זה לא ברור מספיק, אז הנה תמונה נוספת של שיתוף הקישור בלבד:

שימו לב לכתובת השגויה כפי שהיא מופיעה בפרטים
שימו לב לכתובת השגויה כפי שהיא מופיעה בפרטים

ניתן לראות שלמרות שהקישור בטקסט הוא של כתובת אחרת לחלוטין, הכתובת המופיעה בפרטי האתר היא כתובת שכמעט כל אזרח בוגר מכיר – הכתובת של המוסד לביטוח לאומי btl.org.il. מן הסתם באופן פסיכולוגי, לא מעט אנשים יבחנו את פרטי האתר ולאו דווקא את הכתובת. ובפרטי האתר מופיעה הכתובת של ביטוח לאומי.

כדאי מאוד לשים לב לכך. לא מעט פעמים התוקפים מנסים להערים על הקורבנות באמצעים שונים, מכתובות שמאוד דומות – כמו למשל כתובות שאינן כתובות באנגלית כמו

http://www.britishaırways.com

או כתובות שקרובות לכתובות האמיתיות.

במקרה הזה, התרמית נעשתה באמצעות תגית מטא-מידע באתר המזויף (הסבר טכני למטה). חשוב לציין שהדרך הטובה ביותר לדעת אם האתר מזויף או לא היא בחינה מדוקדקת של הקישור עצמו ולא מבט בפרטי האתר כפי שהם מופיעים בהודעה. כלומר הקישור ולא הריבוע האפור.

המתקפה הזו היא יותר רשלנית מהקודמות מבחינת הניסוח וכנראה שמי שהוציא אותה לפועל הוא לא דובר עברית כיוון שיש לא מעט שגיאות המצביעות על שימוש בגוגל טרנסלייט.

תגובות מזויפות המצביעות על כך שמי שיצר את האתר אינו דובר עברית
תגובות פייסבוק מזויפות המצביעות על כך שמי שיצר את האתר אינו דובר עברית

מדובר בוריאציה נוספת של המתקפות שראינו אבל עם טוויסט שובב – הטוויסט של הכתובת. הפעם אין קישור להורדה של תוכנה זדונית אלא הורדה של תוכנה לגיטימית (עלי אקספרס) שנעשית עם מספר הפניה – כלומר מטרת הקורבן היא התקנת האפליקציה וקבלת כסף מעלי אקספרס או כל בעלי תוכנה אחרת. בנוסף, לכל אורך הדרך ישנן פרסומות של גוגל.

מה עושים?
לחצתם על הקישור? אין בעיה – לא נגרם נזק. אם הורדתם תוכנה לגיטימית מחנות האפליקציות של גוגל/אפל – במיוחד אם זו התוכנה הלגיטימית של עלי אקספרס – אפשר להוריד אותה ללא חשש.

מעונינים להגן על משתמשים אחרים? כרגיל – דיווח מהיר ליצרני הדפדפנים השונים על האתר https://mobn.info/nii.

הסבר טכני על תגית המטא מידע

בגדול, ווטסאפ משתמש במטא מידע בדיוק כמו פייסבוק. התוקפים השתמשו בתגית מטא כדי לגרום לווטסאפ להציג כתובת שאינה קשורה אליהם כלל – במקרה הזה של ביטוח לאומי:

תגית מטא לא נכונה
תגית מטא לא נכונה

התגית הזו היא תגית מטא שפייסבוק משתמשים בה. ראשי התבות שלה הן ogm- שזה open graph meta. משתמשים בתגיות האלו כדי לשלוט בדרך שבה האתר מופיע בפייסבוק ובגרורתיה השונות כולל ווטסאפ. אבל במקרה של og:url – זה עלול להטעות משתמשים. אין לי מושג למה בדיוק ווטסאפ מבצעים הצגה של כל מה שיש בתגית הזו כאילו זו כתובת האתר ואדווח להם כמקובל.

כן, גם בהתקפות אחרות השתמשו בזה – אבל הפעם מדובר בכתובת קצרה (בניגוד לשופרסל) ומאוד מוכרת ומתוקשרת. אז אמרתי שאכתוב על זה במיוחד ואסביר מה קורה.

אני מודה מאוד ל-simi spolter שהפנה את תשומת הלב שלי לסיפור הזה.

בטלגרם, אגב, זה לא עובד ככה.

שיתוף תמונה בטלגרם
שיתוף תמונה בטלגרם

פוסטים נוספים שכדאי לקרוא

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

גלילה לראש העמוד