Link-2-Secure

Cybersecurity and data breach news

Kolejny problem WhatsApp’a – banalny sposób na przejęcie kont ofiar

Kolejny błąd (lub luka bezpieczeństwa) w WhatsApp Web - hakerzy mogą bezproblemowo przejąć konto dowolnego użytkownika za pomocą OTP (haseł jednorazowych)

W celu przejęcia kont oszuści używają oficjalnych linków URL @WhatsApp-a służących do generowania OTP (One-Time-Password), które są wysyłane do użytkowników aplikacji Whatsapp Web.

Czarna seria wpadek WhatsApp – po zamieszaniu z polityką prywatności w wyniku czego wielu użytkowników przeszło do konkurencyjnych komunikatorów i finalnie przedłużeniu czasu na akceptację nowej polityki do maja 2021 roku, WhatsApp zalicza kolejny poważny problem z bezpieczeństwem w postaci adresów URL, które używane są do generowania OTP (haseł jednorazowych). Adresy URL są łatwo dostępne w otwartym Internecie, a co gorsza, mogą być modyfikowane przez każdego użytkownika w taki sposób, aby pokazać na ekranie dowolny sześciocyfrowy kod OTP, który następnie haker może wykorzystać do przejęcia konta ofiary.

Po przejęciu dostępu, użytkownik, który pierwotnie był właścicielem konta, traci nad nim kontrolę. Oszuści mogą następnie wykorzystać przejęte konta do rozsyłania spamu do osób kontaktowych użytkownika, a także do rozsyłania złośliwego oprogramowania lub programów szpiegujących do kontaktów ofiary.

Rajshekhar Rajaharia (@rajaharia), niezależny badacz bezpieczeństwa cybernetycznego, stwierdził, że jest to bardzo powszechna technika stosowana przez oszustów w cieszących się złą sławą kręgach cyberprzestępczości i oszustw internetowych w Indiach (dop. red. – problem dotyczy wszystkich użytkowników WhatsApp, nie tylko z Indii), takich jak Jamtara Jharkhanda czy Mewat Bharatpur. „Internetowi bandyci z tych kręgów używają tak spreparowanych adresów URL i używają terminów takich jak „aktualizacja polityki” w celu oszukania użytkowników, a następnie domagają się prawdziwego OTP, aby zhakować konta WhatsApp”, potwierdza Rajaharia.

„WhatsApp skupia się teraz tylko na swojej aplikacji mobilnej, ale powinni oni również ściśle monitorować swoją aplikację internetową. Używając małego błędu (takiego jak wspomniane adresy URL) jednej z największych firm technologicznych na świecie, bandyci mogą zhakować konta WhatsApp, a później mogą wykorzystać zhakowane konta na wiele sposobów”, dodaje Rajaharia.

W gruncie rzeczy, pozostawia to praktycznie każdego z ponad 2 miliardów globalnych użytkowników WhatsApp, zagrożonych oszustwem z linkiem, który, o ironio, pochodzi z oficjalnych linków WhatsApp. W przeciwieństwie do linków do oszustw, które często zawierają ukryte w adresach internetowych, wspomniane adresy URL są w rzeczywistości oficjalnymi linkami WhatsApp, wraz z weryfikacją „https”, która również potwierdza status bezpieczeństwa tych adresów.