Specialist ESET: un cod primit prin SMS poate oferi acces oricui la contul personal de Whatsapp. Cum ne protejăm?
0Poate prelua cineva controlul asupra contului personal doar cunoscând numărul de telefon?Jack Moore, specialist În securitate cibernetică al ESET, a făcut un test pentru a afla dacă este posibil.
După ce telefonul lui Jeff Bezos (CEO-ul gigantului Amazon) a fost compromis prin intermediul unui videoclip maliţios trimis prin WhatsApp, sperăm că tot mai mulţi utilizatori ai aplicaţiei vor începe să se gândească la propria securitate şi să realizeze cât de uşor pot deveni ţinta unui atac cibernetic derulat pe astfel de platforme.
Ce putem face în plus pentru a ne proteja contul de WhatsApp? Mesajele sunt deja criptate end-to-end, ceea ce înseamnă că autorităţile care aplică legea nu pot examina direct acele conversaţii private, dar există oare o altă cale de a ne fi accesat contul? Cheia de criptare a unui mesaj WhatsApp este prezentă în ambele dispozitive utilizate în conversaţie, astfel încât infractorii cibernetici trebuie să aibă acces cel puţin la unul dintre cele două dispozitive pentru a parcurge conversaţiile respective.
Mulţi utilizatori vor spune că utilizează deja un cod PIN complex sau o metodă biometrică pentru a-şi debloca dispozitivele. Cu toate acestea, ce s-ar întâmpla dacă aţi putea controla contul cuiva doar ştiind numărul de telefon al acestuia? Acest lucru este foarte posibil şi destul de uşor de realizat, însă există modalităţi de a reduce riscurile şi de a preveni ca acest lucru să se întâmple.
Deci în ce stă, de fapt, problema?
Când cumpăraţi un telefon nou şi instalaţi toate aplicaţiile şi setările pe care le deţineaţi anterior, vă folosiţi de back-up pentru a avea acces la informaţiile stocate, iar WhatsApp solicită trimiterea unui cod la un număr de telefon. Codul respectiv (de obicei trimis pe dispozitivul pe care instalaţi aplicaţia) va valida telefonul şi veţi obţine acces la toate datele anterioare. Dacă aveţi şi o copie de rezervă a mesajelor, acestea vor apărea până la ultima dată când aţi făcut back-up-ul dispozitivului; dacă nu aţi realizat un back-up, veţi vizualiza doar numele contactelor şi ale grupurilor din care faceţi parte, fără conţinutul mesajelor.
Aici am observat o posibilă lacună. Aş putea oare configura contul WhatsApp al altcuiva pe un dispozitiv nou, doar prin obţinerea codului de validare?
Am decis să testez această ipoteză cu unul dintre colegii mei. Notă: Nu testaţi acest lucru cu numerele de telefon ale unor persoane care nu şi-au dat explicit acordul pentru astfel de teste!
Recent, am reiterat faptul că este întotdeauna o idee bună să facem back-up chat-urilor noastre de WhatsApp, întrucât nu ne-am dori ca informaţiile să fie pierdute pentru totdeauna. Câteva zile mai târziu, am folosit un telefon de rezervă şi am descărcat aplicaţia. Mi-a solicitat un număr de telefon pentru a verifica dispozitivul pe care urma să fie instalat.
La scurtă vreme, colegul meu şi-a lăsat telefonul la vedere pe birou, aşa că am introdus numărul acestuia de telefon în noul meu cont WhatsApp. Mesajul ce conţinea codul a fost primit imediat şi am trecut pe lângă biroul colegului meu, pentru a memora codul. L-am tastat în câmpul de verificare de pe telefonul de rezervă şi am obţinut instant control asupra contului acestuia.
I-am putut vizualiza toate chat-urile din aplicaţie, însă fără mesaje. Pentru a trece testul la nivelul următor, am găsit un grup de chat, la care am trimis mesajul „Hei! Trimiteţi memes!", primind astfel o mulţime de răspunsuri amuzante de la prietenii lui.
Când colegul meu s-a întors la birou, a ignorat cu totul faptul că o altă persoană se angajase într-o conversaţie cu prietenii săi. Au trecut câteva minute până când s-a uitat la telefon şi a spus cu voce tare „Este ciudat, am primit un cod de la WhatsApp, dar nu ştiu de ce”. Tot ce a făcut însă, a fost să şteargă mesajul.
Apoi am decis să îi spun ce s-a întâmplat cu adevărat. Nu îi venea să creadă cât de uşor fusese să preiau controlul asupra contului şi credea că ar trebui să existe mai multă securitate pentru utilizatorii obişnuiţi. Multe persoane îşi lasă telefoanele nesupravegheate, chiar şi în locuri publice, cum ar fi restaurante sau baruri. După ce am şters aplicaţia de pe telefonul de rezervă şi i-am redat controlul complet asupra contului, i-am oferit o serie de sfaturi despre cum să evite un astfel de incident pe viitor.
Cum puteţi fi în siguranţă?
În primul rând, ar trebui să dezactivaţi previzualizarea mesajelor SMS. Acest lucru poate părea evident, dar multe persoane preferă să vadă mesajele cât mai repede. Când oamenii utilizează verificarea în doi paşi (cunoscută şi sub numele de autentificare cu doi factori) fără o aplicaţie de autentificare, ei tind să primească coduri trimise prin SMS, dar dacă acestea pot fi vizualizate de pe un ecran blocat, sunt oarecum inutile pentru un utilizator care îşi lasă telefonul nesupravegheat chiar preţ de câteva minute.
În al doilea rând, nu ar trebui să lăsaţi niciodată telefonul sau dispozitivul nesupravegheat. Cu toţii am văzut persoane care îşi lasă telefoanele la vedere în diferite locuri publice, înconjurate de străini. În plus, nu toată lumea poate fi de încredere, chiar şi la locul de muncă, astfel încât merită să aveţi grijă.
În cele din urmă, există un mod şi mai eficient de a vă proteja contul, măsură care ar trebui implementată chiar acum. WhatsApp a creat propria sa metodă de verificare în doi paşi, simplă de utilizat, cu capacitatea de a opri un eventual atac.
Cum să configuraţi verificarea în doi paşi în WhatsApp
Având aplicaţia deschisă, în dreapta sus daţi click pe cele trei puncte verticale şi apoi accesaţi Setări / Cont / Verificare în doi paşi şi daţi click pe Activare. În continuare, introduceţi o parolă de şase cifre pe care este important să nu o uitaţi şi o adresă de e-mail, în caz că uitaţi parola şi trebuie să o resetaţi / recuperaţi. Vezi în materialul video operaţia în paşi.
Se încarcă comentariile...
