En sikkerhetsfeil oppdaget av dataanalytikere Luis Marquez Carpintero e Ernesto Canales Perena må plassere mer enn 2 milliarder brukere av WhatsApp i alarmtilstand. Ifølge de to forskerne er det en måte for nettkriminelle å blokkere kontoen din ved å bruke bare ditt eget mobiltelefonnummer. Og for en god stund.
"Det er virkelig bekymringsfullt. En svindel som dette kan påvirke livene til millioner av mennesker som er avhengige av WhatsApp som et sosialt og arbeidsverktøy, og hvor lett det kan skje er alarmerende,» kommenterte Jake Moore, representant for ESET, et selskap spesialisert på cybersikkerhet i Slovakia. , til forbes nettsted.
Hvordan ser svindelen ut?
Ifølge eksperter starter svindelen på enklest mulig måte: med en hacker som skriver inn offerets mobiltelefonnummer (som kan være deg) og prøver å registrere det nummeret på en ny enhet. I det øyeblikket mottar den virkelige eieren av kontoen en melding fra WhatsApp som informerer om at en kode er forespurt og at den aldri skal deles med noen.
Siden det ikke var du som stilte forespørselen, er det i prinsippet greit, ikke sant? Feil. Dette er det første tegnet på at noe skjer. Og det er der problemene begynner, siden kriminelle kan gjøre dette gjentatte ganger, helt til de blir varslet av WhatsApp om overdrevne forsøk. Fra da av starter en 12-timers timer inntil en ny forespørsel kan gjøres. Og sikkerhetsfeilen presenterer sitt andre problem på dette tidspunktet.
Ifølge eksperter oppretter angripere en tilfeldig e-post og sender den til whatsapp-støtte informere om at kontoen hans (din faktisk) ble stjålet, og ber om at den ble kansellert. WhatsApp svarer automatisk på kontakten, ber om bekreftelse og deaktiverer deretter nummeret ditt, som slutter å fungere på enheten din.
"Telefonnummeret ditt er ikke lenger registrert med WhatsApp på denne telefonen. Dette kan være fordi du registrerte deg på en annen telefon. Hvis du ikke har gjort det, vennligst sjekk telefonnummeret ditt for å logge på kontoen din igjen», står det i en automatisk melding. Likevel er det fortsatt håp om å omgå sikkerhetsfeilen og ikke miste WhatsApp-nummeret ditt for alltid. Men problemet kan være større.
Det dødelige slaget
Tumisu/Pixabay/CC
Som nevnt ovenfor, hvis du, etter å ha mottatt denne meldingen, prøver å gjenopprette nummeret ditt, kan du prøve, men det er en sjanse for at svindelen kan være dødelig og sikkerhetsbruddet vil forlate deg permanent uten WhatsApp-nummeret ditt. Ettersom du og kriminelle nå deler samme nedtellingstidtaker (den 12-timers, når mange forsøk er gjort), vil WhatsApp til slutt nå en siste prosess.
I den, i stedet for 12 timer, vil du (og angriperen) ha 1 sekund til å skrive inn koden. Hvis kriminelle faktisk har ventet til dette punktet med å sende e-post til WhatsApp og deaktivere nummeret ditt, er det ingen flere måter å registrere telefonen din på, kloningen vil bli utført og feilen vil ha vært dødelig. Eller i det minste vil det gi deg mye mer hodepine å kontakte noen fra appen og prøve å løse saken på en annen måte.
Hvordan unngå?
Ifølge analytikere er den beste måten å omgå WhatsApps sikkerhetsfeil og unngå svindelen også den enkleste: Del aldri 6-tallspassordet hvis den uønskede meldingen når mobiltelefonskjermen din. Men WhatsApp, som har jobbet med datadelingsoppdateringer i lang tid, må også ta grep.
«WhatsApp kan sikre at en app på en enhet med 2FA (tofaktorautentisering) registrert kan unngå dette problemet ved å bruke 2FA som en strømbryter. Eller, når tilgang til flere enheter til slutt dukker opp, kan WhatsApp bruke det pålitelige enhetskonseptet for å la en verifisert app verifisere en annen. Dette er et mye bedre system og vil lukke denne sårbarheten," forklarte Moore.
I kontakt med Forbes uttalte WhatsApp-representanter at de "planlegger å fikse denne sårbarheten", men forklarte ikke hvordan de vil gjøre dette. De rådet også alle som opplever dette eller andre typer problemer at de anser som en sikkerhetsfeil om å gi en e-post til WhatsApp-støtte med totrinnsverifisering, siden dette «hjelper kundeserviceteamet med å identifisere disse personene».
via Min smarte pris
Bilde: Mati Mango/Pexels/CC