יש לכם תא קולי? הווטסאפ שלכם עלול להגנב

קורבן ראשון מתועד לגניבת חשבון ווטסאפ שקל לעשות אותה גם ללא ידע טכני
דיווח של קורבן ראשון על גניבת חשבון ווטסאפ ונעילה של הקורבן מחוץ לחשבון

פירצה פשוטה שמסתבר שמסתובבת בחוגים הנכונים כבר הרבה זמן גרמה לקורבן ראשון בישראל אך כנראה לא אחרון. האמת היא ששמעתי על הפרצה הזו לפני זמן מה ואפילו הצלחתי לשחזר אותה, אבל הייתי די סקפטי שהיא אפקטיבית. אבל עובדה זו עובדה ויש לנו קורבן ראשון וייתכן גם שגל פריצות בדרך. הפירצה קלה מאוד לניצול ולהבנה גם למי שאין לו ידע טכני כלל.

דיווח של קורבן ראשון על גניבת חשבון ווטסאפ ונעילה של הקורבן מחוץ לחשבון
דיווח של קורבן ראשון על גניבת חשבון ווטסאפ ונעילה של הקורבן מחוץ לחשבון

ההתקפה

אז איך גונבים חשבון ווטסאפ? זה די קל אם לקורבן יש תא קולי. בלא מעט מספרי טלפון יש תא קולי שלא ממש משתמשים בו והסיסמה שלו היא די קבועה. בדרך כלל ״0000״ או ״1234״ – מה שמגיע כברירת המחדל. כיוון שמעטים משתמשים בתא קולי גם לאף אחד לא ממש אכפת ממנו וכך הוא נותר במספר הטלפון כמו סרח עודף.

אבל מסתבר שהשריד הנידח משנות התשעים יכול להיות רלוונטי אם אנו מנסים לגנוב את חשבון הווטסאפ של הקורבן. הדבר הראשון זה לוודא שלקורבן יש תא קולי. אחת מהדרכים היא להשתמש בכוכבית 151. מחייגים כוכבית 151 ואז את מספר הטלפון של הקורבן. נגיע אל התא הקולי. נקיש את הסיסמה (שהיא בדרך כלל 0000 או 1234). הגענו לתא הקולי? בינגו! בדרך כלל לא נמצא שם משהו מעניין אבל אנחנו צריכים את הגישה לתא הקולי.

עכשיו זה החלק הטריקי – מחכים לשעה שבה הקורבן לא זמין/ לא יענה. אם הוא שומר שבת, אז שבת זה הזמן האידיאלי. בדרך כלל גם אמצע הלילה זה זמן טוב או כאשר הקורבן בנסיעה לחו״ל. מחברים את הווטסאפ שלכם לקו הטלפון שלו. תהליך האימות של ווטסאפ הוא שליחת סמס.

תהליך אימות מספר בווטסאפ - נשלח סמס למספר שאליו אתה משייך את חשבון הווטסאפ שלך
תהליך אימות מספר בווטסאפ – נשלח סמס למספר שאליו אתה משייך את חשבון הווטסאפ שלך

אבל אם אתה מציין שהסמס לא נשלח, ניתן לבקש בממשק הכניסה להתקשר אל המספר. ווטסאפ יוצרים שיחה שבה קול מוקלט נותן לך את קוד האימות.

שליחת הסמס נכשלה, אנו יכולים לשלוח את המספר באמצעות שיחת טלפון
שליחת הסמס נכשלה, אנו יכולים לשלוח את המספר באמצעות שיחת טלפון

מה שקורה הוא שמי שעונה לשיחה הוא המענה הקולי. השיחה המוקלטת מטעם ווטסאפ מוסרת את המספר לתא הקולי. צריך לגשת מיידית אל התא הקולי ולקחת את קוד האימות משם. וזהו! יש לכם גישה לווטסאפ. עכשיו צריך במהירות ליצור אימות דו שלבי כדי לנעול את הקורבן מחוץ לווטסאפ שלו. וזהו, מעכשיו גם אם הוא ינסה לקבל מחדש את חשבון הווטסאפ שלו הוא לא יצליח כיוון שכל תהליך אימות מחדש יהיה מחויב קוד סודי שרק לתוקף יש. כל מה שנותר לעשות זה לפנות לתמיכה של ווטסאפ ולקוות לטוב. בינתיים התוקף יכול לגרום לנזק משמעותי. במיוחד כשכולנו בטוחים שאי אפשר לגנוב חשבון ווטסאפ.

הגנה

זה מעט מורכב אבל כאמור לא מחייב ידע טכני. אז מה עושים?

הגנה על התא הקולי

הדבר הראשון הוא לבטל מיידית את התא הקולי בחשבון. או לשנות את הסיסמה לסיסמה שהיא לא סיסמת ברירת המחדל. באופן אישי, ביטלתי את התא הקולי שגם כך לא היה לי בו שימוש.

הגנה על חשבון הווטסאפ

הדבר השני הוא הפעלת אימות דו שלבי בחשבון הווטסאפ. האימות הדו שלבי עובד ככה:
Settings -> Two-step verification
תידרשו להכניס קוד בן 6 ספרות שהוא ׳הסיסמה׳ שלכם. לא תוכלו לשייך טלפון חדש למספר שלכם ללא הקשת הסיסמה. כמו כן תידרשו גם להכניס כתובת מייל שאליה יישלח מייל במידה ותשכחו את הקוד. אחרי וידוא הפרטים, האימות הדו שלבי פועל החשבון שלכם מוגן.

אימות דו שלבי בווטסאפ מופעל
אימות דו שלבי בווטסאפ מופעל

אימות דו שלבי תלוי אפליקציה הוא מאוד מאוד חשוב לחשבונות חשובים. גישה לחשבון הווטסאפ היא קריטית עבורנו ויכולה להיות פתח לצרות ובעיות. זה כל כך קל להפעיל אותו שזו בדיחה. אל תקלו ראש בעניין הזה ועשו זאת עכשיו.

פוסטים נוספים שכדאי לקרוא

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

DALL·E 2023-10-21 22.28.58 - Photo of a computer server room with red warning lights flashing, indicating a potential cyber threat. Multiple screens display graphs showing a sudde
יסודות בתכנות

מבוא לאבטחת מידע: IDOR

הסבר על התקפה אהובה ומוצלחת שבאמצעותה שואבים מידע מאתרים

תמונה של הבית הלבן עם מחשוב ענן וטקסט: FEDRAMP
פתרונות ומאמרים על פיתוח אינטרנט

FedRAMP & FIPS מבוא למתחילים

פרק מיוחד, לצד הקלטה של פרק של עושים תוכנה על אחת התקינות החשובות ביותר עבור חברות שסביר להניח שלא הכרתם

גלילה לראש העמוד