פירצה פשוטה שמסתבר שמסתובבת בחוגים הנכונים כבר הרבה זמן גרמה לקורבן ראשון בישראל אך כנראה לא אחרון. האמת היא ששמעתי על הפרצה הזו לפני זמן מה ואפילו הצלחתי לשחזר אותה, אבל הייתי די סקפטי שהיא אפקטיבית. אבל עובדה זו עובדה ויש לנו קורבן ראשון וייתכן גם שגל פריצות בדרך. הפירצה קלה מאוד לניצול ולהבנה גם למי שאין לו ידע טכני כלל.
ההתקפה
אז איך גונבים חשבון ווטסאפ? זה די קל אם לקורבן יש תא קולי. בלא מעט מספרי טלפון יש תא קולי שלא ממש משתמשים בו והסיסמה שלו היא די קבועה. בדרך כלל ״0000״ או ״1234״ – מה שמגיע כברירת המחדל. כיוון שמעטים משתמשים בתא קולי גם לאף אחד לא ממש אכפת ממנו וכך הוא נותר במספר הטלפון כמו סרח עודף.
אבל מסתבר שהשריד הנידח משנות התשעים יכול להיות רלוונטי אם אנו מנסים לגנוב את חשבון הווטסאפ של הקורבן. הדבר הראשון זה לוודא שלקורבן יש תא קולי. אחת מהדרכים היא להשתמש בכוכבית 151. מחייגים כוכבית 151 ואז את מספר הטלפון של הקורבן. נגיע אל התא הקולי. נקיש את הסיסמה (שהיא בדרך כלל 0000 או 1234). הגענו לתא הקולי? בינגו! בדרך כלל לא נמצא שם משהו מעניין אבל אנחנו צריכים את הגישה לתא הקולי.
עכשיו זה החלק הטריקי – מחכים לשעה שבה הקורבן לא זמין/ לא יענה. אם הוא שומר שבת, אז שבת זה הזמן האידיאלי. בדרך כלל גם אמצע הלילה זה זמן טוב או כאשר הקורבן בנסיעה לחו״ל. מחברים את הווטסאפ שלכם לקו הטלפון שלו. תהליך האימות של ווטסאפ הוא שליחת סמס.
אבל אם אתה מציין שהסמס לא נשלח, ניתן לבקש בממשק הכניסה להתקשר אל המספר. ווטסאפ יוצרים שיחה שבה קול מוקלט נותן לך את קוד האימות.
מה שקורה הוא שמי שעונה לשיחה הוא המענה הקולי. השיחה המוקלטת מטעם ווטסאפ מוסרת את המספר לתא הקולי. צריך לגשת מיידית אל התא הקולי ולקחת את קוד האימות משם. וזהו! יש לכם גישה לווטסאפ. עכשיו צריך במהירות ליצור אימות דו שלבי כדי לנעול את הקורבן מחוץ לווטסאפ שלו. וזהו, מעכשיו גם אם הוא ינסה לקבל מחדש את חשבון הווטסאפ שלו הוא לא יצליח כיוון שכל תהליך אימות מחדש יהיה מחויב קוד סודי שרק לתוקף יש. כל מה שנותר לעשות זה לפנות לתמיכה של ווטסאפ ולקוות לטוב. בינתיים התוקף יכול לגרום לנזק משמעותי. במיוחד כשכולנו בטוחים שאי אפשר לגנוב חשבון ווטסאפ.
הגנה
זה מעט מורכב אבל כאמור לא מחייב ידע טכני. אז מה עושים?
הגנה על התא הקולי
הדבר הראשון הוא לבטל מיידית את התא הקולי בחשבון. או לשנות את הסיסמה לסיסמה שהיא לא סיסמת ברירת המחדל. באופן אישי, ביטלתי את התא הקולי שגם כך לא היה לי בו שימוש.
הגנה על חשבון הווטסאפ
הדבר השני הוא הפעלת אימות דו שלבי בחשבון הווטסאפ. האימות הדו שלבי עובד ככה:
Settings -> Two-step verification
תידרשו להכניס קוד בן 6 ספרות שהוא ׳הסיסמה׳ שלכם. לא תוכלו לשייך טלפון חדש למספר שלכם ללא הקשת הסיסמה. כמו כן תידרשו גם להכניס כתובת מייל שאליה יישלח מייל במידה ותשכחו את הקוד. אחרי וידוא הפרטים, האימות הדו שלבי פועל החשבון שלכם מוגן.
אימות דו שלבי תלוי אפליקציה הוא מאוד מאוד חשוב לחשבונות חשובים. גישה לחשבון הווטסאפ היא קריטית עבורנו ויכולה להיות פתח לצרות ובעיות. זה כל כך קל להפעיל אותו שזו בדיחה. אל תקלו ראש בעניין הזה ועשו זאת עכשיו.
15 תגובות
מעט מורכב? לא מורכב בכלל
אבל לתא קולי יש פתיח של כמה שניות, הקראת קוד האימות תסתיים עד שההקלטה תתחיל…
יש גם שיטה לעקוף את זה
אלא אם הם מקריאים כמה פעמים.
אתם מדברים שטויות כשנגנב לי הוואצאפ אני ינסה להיתחבר והוא יגיד לי ש וואצאפ שלי מחובר במכשיר אחר ואז הוא נותן אופציה לעבור מכשיר כמו בכל התחדשות במכשיר חדש וכשאני אבקש קוד אימות הוא יגיע למכשיר שלי בסמס או בשיחה ואופס הוואצאפ שלי שוב אצלי !!!
אבל יש דו שלבי שאי אפשר לעקוף דרך סמס או שיחה רק עם הקוד הנכון
לא, לא שטויות. התוקף מפעיל את האימות הדו שלבי ואז אתה ננעל מחוץ לחשבון. כדאי שתקשיב לאנשים שהם קצת יותר מבינים ממך.
תודה רבה מחכים מאוד.
המשך נא לכתוב מאמרים מחכימים שכאלו.
לא הסברתם איך לבטל תיבה קולית.
אני בכלל לא רואה פונקציה כזאת
עם אני עושה מה שהפורץ עושה זה פשוט מגיע לתיבה שאני יכול להקליט מה שאני רוצה וזהו סך הכל זה לא נותן גישה לתיבהשל האחר….
הסוג הזה של חולשה מוכר כבר משנת 2012 וחבל שבווטסאפ לא חסמו את האפשרות לקבל קודי אימות דו-שלבי בהודעה קולית: https://blog.cloudflare.com/post-mortem-todays-attack-apparent-google-app/ (חפשו voicemail)
" מחייגים כוכבית 151 ואז את מספר הטלפון של הקורבן."
אין לי את האפשרות להכניס מספר טלפון אחר 151 (סתם מנסה עם טלפון נוסף שלי)
כוכבית 151 מוביל לתא הקולי של הלקוח; 151 ללא כוכבית, כאשר מיד לאחריו מספר הטלפון המבוקש (ללא הספרה אפס בקידומת) מאפשר לגשת אל תא קולי של אדם אחר.
רן יא חמוד (וגם סקסי!) תודה שוב 🙂
1אם אני מתקשר לתא קולי של משהו אחר זה אומר לי להכניס את המספר אישי של הלקוח