יש לכם תא קולי? הווטסאפ שלכם עלול להגנב

פירצה פשוטה שמסתבר שמסתובבת בחוגים הנכונים כבר הרבה זמן גרמה לקורבן ראשון בישראל אך כנראה לא אחרון. האמת היא ששמעתי על הפרצה הזו לפני זמן מה ואפילו הצלחתי לשחזר אותה, אבל הייתי די סקפטי שהיא אפקטיבית. אבל עובדה זו עובדה ויש לנו קורבן ראשון וייתכן גם שגל פריצות בדרך. הפירצה קלה מאוד לניצול ולהבנה גם למי שאין לו ידע טכני כלל.

דיווח של קורבן ראשון על גניבת חשבון ווטסאפ ונעילה של הקורבן מחוץ לחשבון

דיווח של קורבן ראשון על גניבת חשבון ווטסאפ ונעילה של הקורבן מחוץ לחשבון

ההתקפה

אז איך גונבים חשבון ווטסאפ? זה די קל אם לקורבן יש תא קולי. בלא מעט מספרי טלפון יש תא קולי שלא ממש משתמשים בו והסיסמה שלו היא די קבועה. בדרך כלל ״0000״ או ״1234״ – מה שמגיע כברירת המחדל. כיוון שמעטים משתמשים בתא קולי גם לאף אחד לא ממש אכפת ממנו וכך הוא נותר במספר הטלפון כמו סרח עודף.

אבל מסתבר שהשריד הנידח משנות התשעים יכול להיות רלוונטי אם אנו מנסים לגנוב את חשבון הווטסאפ של הקורבן. הדבר הראשון זה לוודא שלקורבן יש תא קולי. אחת מהדרכים היא להשתמש בכוכבית 151. מחייגים כוכבית 151 ואז את מספר הטלפון של הקורבן. נגיע אל התא הקולי. נקיש את הסיסמה (שהיא בדרך כלל 0000 או 1234). הגענו לתא הקולי? בינגו! בדרך כלל לא נמצא שם משהו מעניין אבל אנחנו צריכים את הגישה לתא הקולי.

עכשיו זה החלק הטריקי – מחכים לשעה שבה הקורבן לא זמין/ לא יענה. אם הוא שומר שבת, אז שבת זה הזמן האידיאלי. בדרך כלל גם אמצע הלילה זה זמן טוב או כאשר הקורבן בנסיעה לחו״ל. מחברים את הווטסאפ שלכם לקו הטלפון שלו. תהליך האימות של ווטסאפ הוא שליחת סמס.

תהליך אימות מספר בווטסאפ - נשלח סמס למספר שאליו אתה משייך את חשבון הווטסאפ שלך

תהליך אימות מספר בווטסאפ – נשלח סמס למספר שאליו אתה משייך את חשבון הווטסאפ שלך

אבל אם אתה מציין שהסמס לא נשלח, ניתן לבקש בממשק הכניסה להתקשר אל המספר. ווטסאפ יוצרים שיחה שבה קול מוקלט נותן לך את קוד האימות.

שליחת הסמס נכשלה, אנו יכולים לשלוח את המספר באמצעות שיחת טלפון

שליחת הסמס נכשלה, אנו יכולים לשלוח את המספר באמצעות שיחת טלפון

מה שקורה הוא שמי שעונה לשיחה הוא המענה הקולי. השיחה המוקלטת מטעם ווטסאפ מוסרת את המספר לתא הקולי. צריך לגשת מיידית אל התא הקולי ולקחת את קוד האימות משם. וזהו! יש לכם גישה לווטסאפ. עכשיו צריך במהירות ליצור אימות דו שלבי כדי לנעול את הקורבן מחוץ לווטסאפ שלו. וזהו, מעכשיו גם אם הוא ינסה לקבל מחדש את חשבון הווטסאפ שלו הוא לא יצליח כיוון שכל תהליך אימות מחדש יהיה מחויב קוד סודי שרק לתוקף יש. כל מה שנותר לעשות זה לפנות לתמיכה של ווטסאפ ולקוות לטוב. בינתיים התוקף יכול לגרום לנזק משמעותי. במיוחד כשכולנו בטוחים שאי אפשר לגנוב חשבון ווטסאפ.

הגנה

זה מעט מורכב אבל כאמור לא מחייב ידע טכני. אז מה עושים?

הגנה על התא הקולי

הדבר הראשון הוא לבטל מיידית את התא הקולי בחשבון. או לשנות את הסיסמה לסיסמה שהיא לא סיסמת ברירת המחדל. באופן אישי, ביטלתי את התא הקולי שגם כך לא היה לי בו שימוש.

הגנה על חשבון הווטסאפ

הדבר השני הוא הפעלת אימות דו שלבי בחשבון הווטסאפ. האימות הדו שלבי עובד ככה:
Settings -> Two-step verification
תידרשו להכניס קוד בן 6 ספרות שהוא ׳הסיסמה׳ שלכם. לא תוכלו לשייך טלפון חדש למספר שלכם ללא הקשת הסיסמה. כמו כן תידרשו גם להכניס כתובת מייל שאליה יישלח מייל במידה ותשכחו את הקוד. אחרי וידוא הפרטים, האימות הדו שלבי פועל החשבון שלכם מוגן.

אימות דו שלבי בווטסאפ מופעל

אימות דו שלבי בווטסאפ מופעל

אימות דו שלבי תלוי אפליקציה הוא מאוד מאוד חשוב לחשבונות חשובים. גישה לחשבון הווטסאפ היא קריטית עבורנו ויכולה להיות פתח לצרות ובעיות. זה כל כך קל להפעיל אותו שזו בדיחה. אל תקלו ראש בעניין הזה ועשו זאת עכשיו.

כדאי תמיד להשאר מעודכנים! הרשמו לעדכונים של האתר במייל! - המייל יישלח כל יום ראשון בעשר בבוקר ויכיל אך ורק את המאמרים שהתפרסמו באינטרנט ישראל. ללא ספאם, ללא הצפות, ללא בלגנים. 🙂

אהבתם? לא אהבתם? דרגו!

לא אהבתי בכלללא אהבתיבסדראהבתיאהבתי מאוד (19 הצבעות, ממוצע: 4.37 מתוך 5)

תגיות: , פורסם בקטגוריה: חדשות אינטרנט

אל תשארו מאחור! יש עוד מה ללמוד!

14 comments on “יש לכם תא קולי? הווטסאפ שלכם עלול להגנב
  1. ליה הגיב:

    מעט מורכב? לא מורכב בכלל

  2. רם הגיב:

    אבל לתא קולי יש פתיח של כמה שניות, הקראת קוד האימות תסתיים עד שההקלטה תתחיל…

  3. ראובן הגיב:

    אתם מדברים שטויות כשנגנב לי הוואצאפ אני ינסה להיתחבר והוא יגיד לי ש וואצאפ שלי מחובר במכשיר אחר ואז הוא נותן אופציה לעבור מכשיר כמו בכל התחדשות במכשיר חדש וכשאני אבקש קוד אימות הוא יגיע למכשיר שלי בסמס או בשיחה ואופס הוואצאפ שלי שוב אצלי !!!

    • משתמש אנונימי (לא מזוהה) הגיב:

      אבל יש דו שלבי שאי אפשר לעקוף דרך סמס או שיחה רק עם הקוד הנכון

    • נאור ל. הגיב:

      לא, לא שטויות. התוקף מפעיל את האימות הדו שלבי ואז אתה ננעל מחוץ לחשבון. כדאי שתקשיב לאנשים שהם קצת יותר מבינים ממך.

  4. Yehuda הגיב:

    תודה רבה מחכים מאוד.
    המשך נא לכתוב מאמרים מחכימים שכאלו.

  5. דן הגיב:

    לא הסברתם איך לבטל תיבה קולית.
    אני בכלל לא רואה פונקציה כזאת

  6. אוראל הגיב:

    עם אני עושה מה שהפורץ עושה זה פשוט מגיע לתיבה שאני יכול להקליט מה שאני רוצה וזהו סך הכל זה לא נותן גישה לתיבהשל האחר….

  7. ערןב הגיב:

    הסוג הזה של חולשה מוכר כבר משנת 2012 וחבל שבווטסאפ לא חסמו את האפשרות לקבל קודי אימות דו-שלבי בהודעה קולית: https://blog.cloudflare.com/post-mortem-todays-attack-apparent-google-app/ (חפשו voicemail)

  8. רחלי הגיב:

    " מחייגים כוכבית 151 ואז את מספר הטלפון של הקורבן."

    אין לי את האפשרות להכניס מספר טלפון אחר 151 (סתם מנסה עם טלפון נוסף שלי)

  9. כוכבית 151 מוביל לתא הקולי של הלקוח; 151 ללא כוכבית, כאשר מיד לאחריו מספר הטלפון המבוקש (ללא הספרה אפס בקידומת) מאפשר לגשת אל תא קולי של אדם אחר.

  10. משתמש אנונימי (לא מזוהה) הגיב:

    רן יא חמוד (וגם סקסי!) תודה שוב 🙂