Осторожно: в Израиле изобрели новый способ «угона» аккаунтов «Вотсаппа»

Изрaильскoe упрaвлeниe пo кибeрбeзoпaснoсти сообщает об участившихся случаях кражи аккаунтов «Вотсаппа» при помощи автоответчика.

Поскольку идентификатором аккаунта в «Вотсаппе» служит телефонный номер, то при установке приложения на мобильное устройство на заявленный телефонный номер высылается «эсэмэска» с кодом для подтверждения, которую надо ввести в соответствующую графу «Вотсаппа». После этого будет считаться, что данный аккаунт установлен на телефоне с соответствующим номером.

Теоретически и даже практически аккаунт «Вотсаппа» для одного телефонного номера можно установить и на аппарат с другим телефонным номером – если иметь доступ к верификационному коду, который пришлют на первый номер.

В этом случае архив сообщений, сохраненный для соответствующего номера на серверах «Вотсаппа», будет развернут на другом телефоне, а аккаунт на первом телефоне деактивируется.

Разумеется, как правило, у злоумышленников нет доступа к телефону жертвы, и они не могут посмотреть «эсэмэску» с верификационным кодом, чтобы ввести ее у себя на телефоне и таким образом угнать аккаунт.

Однако в Израиле нашлась лазейка в виде автоответчиков. Дело в том, что пользователь при переустановке «Вотсаппа» может отметить, что не получил код по СМС, и выбрать опцию звонка на телефон с надиктовкой кода.

Если проделать эту операцию в то время, когда абонент на телефоне-жертве с высокой вероятностью не ответит на звонок, код запишется на автоответчик, которые до сих пор работают у большинства абонентов израильских сотовых компаний. Тут злоумышленникам требуется еще толика везения – оставленный по умолчанию пароль для автоответчика. Как правило, в Израиле это 1234.

И тогда, поскольку в сотовых компаниях всегда можно добраться до своего автоответчика с любого номера, злоумышленнику остается лишь прослушать на автоответчике жертвы звонок из «Вотсаппа» с верификационным кодом и ввести этот код у себя на устройстве – таким образом аккаунт окажется угнанным.

После этого злоумышленник может ввести двухшаговую идентификацию, запрещающую инсталлировать аккаунт на другом устройстве без пароля, и тогда вернуть его назад будет практически невозможно.

В связи с этой дырой (хоть технология подобного угона довольна сложна и требует от злоумышленников изрядной доли везения) в Управлении по кибербезопасности рекомендуют пользователям самим выбрать в настройках двухфакторную систему верификации. Это значит, что когда вы будете переносить свой аккаунт на новое устройство, одной «эсэмэски» с верификационным кодом будет недостаточно, потребуется еще и цифровой пароль.

Сообщение израильского Центра по кибербезопасности перепечатали многие иностранные СМИ, включая российские, однако там суть дела изложена очень приблизительно, технология угона аккаунта не объясняется, поэтому мы решили дать детальное объяснение, понятное прежде всего израильтянам.