Hakkerit ovat keksineet Whatsapp-tilin kaappamisen uuden, yksinkertaisen mutta tehokkaan keinon, varoittaa tietoturvatutkija Zuk Avraham. Tietoturvayhtiö Zimperiumin perustaja kertoo asiasta Twitterissä.
Avraham kuvailee hakkereiden toimintaa ”yksinkertaiseksi ja nerokkaaksi”. Hakkeri yrittää kirjautua uhrinsa Whatsapp-tilille ilman salasanaa, jolloin uhri vastaanottaa tekstiviestinä sisäänkirjautumiseen vaadittavan PIN-koodin. Tämä ei kuitenkaan ole hakkerille ongelma, sillä seuraavaksi hän pyytää koodin puhelimitse. Tämä on mahdollista, mikäli sisäänkirjautumista yrittävä valitsee vaihtoehdon ”viesti ei saapunut”.
Nyt Whatsapp soittaa tilin omistajalle automaattisen puhelun. Jos uhri on nukkumassa eikä vastaa soittoon, ohjautuu se puhelinvastaajaan. Seuraavaksi rikolliset yrittävät päästä käsiksi vastaajan viesteihin kokeilemalla oletuskoodia, joka monilla operaattoreilla on puhelinnumeron viimeiset neljä numeroa. Jos tämä onnistuu, pääsevät hakkerit myös käsiksi Whatsapp-koodiin.
Kaapatun Whatsapp-tilin takaisin saaminen saattaa kestää päiviä, minä aikana rikolliset voivat käyttää tiliä rahojen huijaamiseen yhteystiedoilta sekä haittaohjelmien levittämiseen.
– Miten välttää tämä Whatsapp-tilin kaappaus, Avraham kysyy Twitterissä.
– Ensimmäiseksi, katso, ettei vastaajasi PIN-koodi ole oletuskoodi. Toiseksi, ota Whatsapissa käyttöön kaksivaiheinen tunnistautuminen, hän neuvoo.
The attacker clicks on the option that the SMS didn't arrive and asks for a verification by phone.
WhatsApp call you. You're sleeping. It goes to Voicemail. The voicemail stores the automated voice with the pincode that the attackers are trying to obtain.
— Zuk (@ihackbanme) January 19, 2023
After logging in, they setup a 2FA pincode on your Whatsapp to prevent you from logging back in.
WhatsApp account recovery process takes several days – during this time they ask for $ from your contacts or spread malware.
— Zuk (@ihackbanme) January 19, 2023
How to avoid this WhatsApp account takeover?
1. Make sure that your voicemail pincode is not the default pincode.
2. Setup 2FA pincode on your WhatsApp— Zuk (@ihackbanme) January 19, 2023