Podvod zneužívá funkce, kterou nabízí sám WhatsApp. I bez znalosti hesla dokáže útočník ukrást účet

Lukáš Altman
Lukáš Altman
Profil autora
839 článků

Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.

Zpráva od známého kontaktu, jeden klik a běžné ověření. Právě tak dnes přichází lidé o kontrolu nad svým WhatsApp účtem, a to bez prolomení hesla i varování.

WhatsApp na mobilním telefonu

U WhatsAppu si většina lidí řekne, že je spojený s telefonním číslem, takže se bez něj k jejich zprávám nikdo nedostane – jenže omyl. Redakce Mobify si všimla nového podvodu, který obchází klasické zabezpečení a zneužívá funkci, kterou sám WhatsApp nabízí. Útočník se dostává do účtu tím, že přesvědčí oběť, aby mu přístup sama potvrdila.

Podvod stojí pouze na uživatelské chybě

Scénář je až primitivně jednoduchý a právě proto dost nebezpečný. Vše obvykle začne zprávou od někoho, koho máte sami v kontaktech. Může jít o kamaráda, kolegu nebo někoho z rodiny. Text je většinou krátký a působí nenápadně, třeba že dotyčný narazil na vaši fotku někde na internetu a posílá vám odkaz, informuje GenDigital.

Po rozkliknutí se otevře stránka, která napodobuje známý Facebook. Design, barvy i logo vypadají stejně. Stránka tvrdí, že před zobrazením daného obsahu je potřeba ověřit totožnost. Nejde ale o přihlášení do opravdového účtu. Místo toho jste nenápadně vedeni k tomu, abyste sami vyplněním propojili zařízení útočníka s vaším WhatsApp účtem.

Proč útočník nepotřebuje vaše heslo?

WhatsApp (bohužel v tomto případě) umožňuje připojit účet k dalším zařízením pomocí párovacího kódu nebo QR kódu. Běžně tuto funkci používáme třeba při přihlášení na počítači nebo propojení s přáteli, uvádí WhatsApp. Jenže podvodníci tento proces zneužívají.

Oběť tak zadá své telefonní číslo, WhatsApp odešle skutečný ověřovací kód a falešná stránka ji vyzve, aby ho „potvrdila“. Tím ale neověřuje obsah odkazu, ale potvrzuje přístup cizího zařízení ke svému účtu. Z pohledu aplikace je vše v pořádku, protože souhlas přišel od uživatele samotného.

Jakmile je cizí zařízení propojeno, útočník vidí zprávy v reálném čase, může vše číst, prohlížet média a psát vaším jménem. Telefon oběti přitom funguje normálně. Žádné odhlášení, žádné upozornění. Napadený účet se navíc stává nástrojem k dalšímu šíření.

Tento typ útoku je nebezpečný, člověk apce věří

Nejde o klasické hackování. Podvod využívá legitimní funkce aplikace, působí jako běžný bezpečnostní krok a oběť nepřipraví o přístup k účtu. Připojené zařízení zůstává aktivní, dokud ho uživatel ručně neodstraní. Útočníci tak mohou sbírat informace, které později využijí k dalším podvodům nebo cílenému vydírání, jak se jim chce.

Základní ochrana je přitom překvapivě jednoduchá a velice doporučujeme následující kroky s pravidelností provádět:

  • Pravidelně kontrolujte Nastavení → Propojená zařízení a odstraňte vše cizí
  • Nikdy nezadávejte ověřovací ani párovací kódy na cizích stránkách
  • Propojujte zařízení jen ve chvíli, kdy to sami chcete
  • Aktivujte dvoufázové ověření
  • Upozorněte své blízké, právě důvěra mezi kontakty je hlavní zbraní útočníků

Podle našeho názoru podobné útoky ukazují, že pohodlí moderních aplikací často předbíhá srozumitelné vysvětlení rizik, přičemž vzniká prostor pro zneužití.

Zdroje

Autorský komentář Lukáše Altmana

Líbí se vám tento článek? Tak pojďte diskutovat.

Diskuze 0

Copyright © 2016-2024 abcMedia Network, s.r.o.
Obsah je chráněn autorským právem. Jakékoli užití včetně publikování nebo jiného šíření obsahu je bez písemného souhlasu zakázáno.