כך משתלטים על חשבונות וואטסאפ

השתלטות על חשבונות וואטסאפ (WhatsApp) הפכה בשנים האחרונות לאחד מאיומי הסייבר הבולטים ביותר עבור משתמשים פרטיים וארגונים כאחד. בעוד שבעבר מתקפות רבות התבססו על גניבת סיסמאות, נוזקות או ניצול פרצות אבטחה, גל התקיפות הנוכחי נשען על עיקרון פשוט בהרבה: הנדסה חברתית.

במקום לתקוף את הטכנולוגיה, התוקפים תוקפים את המשתמש. הם מנצלים את האמון האנושי, את הסקרנות ואת ההרגלים הדיגיטליים היומיומיים כדי לקבל גישה לחשבונות מבלי לפרוץ אליהם באופן מסורתי.

ככל שוואטסאפ הופכת לכלי מרכזי בתקשורת אישית ועסקית, כך גדל גם הערך של חשבונות המשתמשים בעיני פושעי הסייבר. עבור רבים, האפליקציה משמשת לא רק להודעות אישיות, אלא גם להעברת מסמכים, תמונות, מידע עסקי וקודי אימות לשירותים שונים.

האיום החדש: גוסט־פיירינג

אחת השיטות הבולטות שהתגלו לאחרונה מכונה Ghost Pairing או "גוסט־פיירינג", התחברות רפאים. מדובר בשיטת תקיפה שאינה דורשת גניבת סיסמה, החלפת כרטיס SIM או התקנת נוזקה על המכשיר. במקום זאת, התוקפים מנצלים את מנגנון "המכשירים המקושרים" של וואטסאפ, המאפשר לחבר מחשבים או מכשירים נוספים לאותו חשבון.

למעשה, התוקף גורם לקורבן לבצע בעצמו את פעולת החיבור, מבלי להבין מה באמת מתרחש מאחורי הקלעים. המתקפה מתחילה בדרך כלל בהודעת טקסט, הודעה ברשת חברתית או פנייה בערוץ תקשורת אחר. הקורבן מקבל הודעה שנועדה לעורר סקרנות או תחושת דחיפות. לעיתים מדובר במסרים כמו "מצאתי תמונה שלך" או "מישהו פרסם עליך פוסט". ההודעה כוללת קישור שנראה לגיטימי ומוביל לכאורה לפלטפורמה מוכרת, כגון פייסבוק.

לאחר הלחיצה, המשתמש מועבר לעמוד מזויף שנראה אמין ומשכנע. העמוד מבקש לבצע תהליך אימות פשוט, לרוב באמצעות הזנת מספר הטלפון. מכיוון שמשתמשים רגילים לתהליכי אימות דומים בשירותים רבים, הבקשה אינה נראית חריגה במיוחד.

השלב הקריטי מגיע כאשר הקורבן מקבל קוד אימות לטלפון הנייד. בניגוד למה שהקורבן סבור, הקוד אינו קשור כלל לפייסבוק או לשירות שהוצג בפניו. למעשה, מדובר בקוד קישור מכשיר של וואטסאפ. ברגע שהקוד מוזן באתר המזויף או מועבר לתוקף, נוצר חיבור בין חשבון הוואטסאפ של הקורבן לבין מכשיר הנשלט על ידי התוקף. מכאן ואילך, התוקף מסוגל לקבל גישה מתמשכת לחשבון, לעקוב אחר הודעות נכנסות, לצפות במדיה משותפת ולעקוב אחר שיחות אישיות ועסקיות.

מדוע השיטה מסוכנת במיוחד?

אחד המאפיינים המטרידים ביותר של המתקפה הוא העובדה שהקורבן לרוב אינו מבחין כלל בפריצה. בניגוד להשתלטות קלסית שבה החשבון ננעל או מועברות התראות חריגות, חיבור מכשיר מקושר מאפשר לתוקף לפעול בשקט במשך זמן רב.

המשתמש ממשיך להשתמש בוואטסאפ באופן רגיל לחלוטין, בעוד גורם נוסף צופה בחלק מהמידע המועבר בחשבון. גישה זו עלולה לחשוף מידע אישי, מסמכים רגישים, תמונות פרטיות, פרטי קשר, התכתבויות עסקיות ולעיתים גם מידע פיננסי.

לא רק משתמשים פרטיים חשופים. הבעיה חמורה במיוחד בארגונים. עובדים רבים משתמשים בוואטסאפ לצורך תיאום משימות, העברת מסמכים, שיתוף מידע פנים־ארגוני וקבלת קודי אימות ממערכות שונות. במצב כזה, השתלטות על חשבון אחד עלולה להוביל לדליפת מידע, לניסיונות התחזות, להונאות כספיות ואף לפגיעה במוניטין הארגון.

מומחי אבטחת מידע מציינים כי יותר ויותר מתקפות מצליחות כיום באמצעות מניפולציה פסיכולוגית ולא באמצעות פריצה טכנולוגית מורכבת.

כיצד ניתן להתגונן?

ההגנה הטובה ביותר מתחילה במודעות. בשום פנים ואופן אין לשתף קודי אימות או קודי קישור שמתקבלים בוואטסאפ, גם אם הבקשה נראית לגיטימית. שירותים אמיתיים אינם מבקשים להזין קודי וואטסאפ מחוץ לאפליקציה עצמה. בנוסף, מומלץ לבדוק באופן קבוע את רשימת המכשירים המקושרים דרך הגדרות החשבון. אם מופיע מכשיר שאינו מוכר, יש לנתק אותו באופן מיידי.

שכבת הגנה נוספת היא הפעלת אימות דו־שלבי, המקשה על תוקפים להשיג גישה לחשבון גם במקרה של חשיפת פרטים מסוימים. כדאי גם לגלות זהירות וחשדנות כלפי הודעות המעוררות לחץ, פחד או סקרנות מוגזמת. אלו בדיוק הרגשות שעליהם מסתמכים התוקפים כדי לגרום למשתמשים לפעול במהירות וללא בדיקה נוספת.

האתגר האמיתי הוא הגורם האנושי

מתקפת גוסט־פיירינג ממחישה מגמה רחבה יותר בעולם הסייבר. ככל שמערכות ההגנה הטכנולוגיות משתפרות, כך פושעי הסייבר משקיעים יותר מאמצים בניצול טעויות אנוש.

במקרים רבים, הדרך הקלה ביותר לפרוץ לחשבון אינה באמצעות פרצת אבטחה מתוחכמת, אלא באמצעות שכנוע המשתמש לבצע פעולה שגויה בעצמו.

לכן, לצד פתרונות טכנולוגיים, ארגונים ומשתמשים פרטיים נדרשים להשקיע גם בהעלאת מודעות ובהכרת שיטות ההונאה החדשות. בסופו של דבר, קו ההגנה הראשון אינו תוכנת האבטחה או האפליקציה, אלא המשתמש עצמו.

לפרטים נוספים