רן בר-זיק     לפני 7 שנים     כ- 6 דקות קריאה  

יש לכם תא קולי? הווטסאפ שלכם עלול להגנב | אינטרנט ישראל

תוכנה

יש לכם תא קולי? הווטסאפ שלכם עלול להגנב

פירצה פשוטה שמסתבר שמסתובבת בחוגים הנכונים כבר הרבה זמן גרמה לקורבן ראשון בישראל אך כנראה לא אחרון. האמת היא ששמעתי על הפרצה הזו לפני זמן מה ואפילו הצלחתי לשחזר אותה, אבל הייתי די סקפטי שהיא אפקטיבית. אבל עובדה זו עובדה ויש לנו קורבן ראשון וייתכן גם שגל פריצות בדרך. הפירצה קלה מאוד לניצול ולהבנה גם למי שאין לו ידע טכני כלל.

דיווח של קורבן ראשון על גניבת חשבון ווטסאפ ונעילה של הקורבן מחוץ לחשבון
דיווח של קורבן ראשון על גניבת חשבון ווטסאפ ונעילה של הקורבן מחוץ לחשבון

ההתקפה

אז איך גונבים חשבון ווטסאפ? זה די קל אם לקורבן יש תא קולי. בלא מעט מספרי טלפון יש תא קולי שלא ממש משתמשים בו והסיסמה שלו היא די קבועה. בדרך כלל ״0000״ או ״1234״ – מה שמגיע כברירת המחדל. כיוון שמעטים משתמשים בתא קולי גם לאף אחד לא ממש אכפת ממנו וכך הוא נותר במספר הטלפון כמו סרח עודף.

אבל מסתבר שהשריד הנידח משנות התשעים יכול להיות רלוונטי אם אנו מנסים לגנוב את חשבון הווטסאפ של הקורבן. הדבר הראשון זה לוודא שלקורבן יש תא קולי. אחת מהדרכים היא להשתמש בכוכבית 151. מחייגים כוכבית 151 ואז את מספר הטלפון של הקורבן. נגיע אל התא הקולי. נקיש את הסיסמה (שהיא בדרך כלל 0000 או 1234). הגענו לתא הקולי? בינגו! בדרך כלל לא נמצא שם משהו מעניין אבל אנחנו צריכים את הגישה לתא הקולי.

עכשיו זה החלק הטריקי – מחכים לשעה שבה הקורבן לא זמין/ לא יענה. אם הוא שומר שבת, אז שבת זה הזמן האידיאלי. בדרך כלל גם אמצע הלילה זה זמן טוב או כאשר הקורבן בנסיעה לחו״ל. מחברים את הווטסאפ שלכם לקו הטלפון שלו. תהליך האימות של ווטסאפ הוא שליחת סמס.

תהליך אימות מספר בווטסאפ - נשלח סמס למספר שאליו אתה משייך את חשבון הווטסאפ שלך
תהליך אימות מספר בווטסאפ – נשלח סמס למספר שאליו אתה משייך את חשבון הווטסאפ שלך

אבל אם אתה מציין שהסמס לא נשלח, ניתן לבקש בממשק הכניסה להתקשר אל המספר. ווטסאפ יוצרים שיחה שבה קול מוקלט נותן לך את קוד האימות.

שליחת הסמס נכשלה, אנו יכולים לשלוח את המספר באמצעות שיחת טלפון
שליחת הסמס נכשלה, אנו יכולים לשלוח את המספר באמצעות שיחת טלפון

מה שקורה הוא שמי שעונה לשיחה הוא המענה הקולי. השיחה המוקלטת מטעם ווטסאפ מוסרת את המספר לתא הקולי. צריך לגשת מיידית אל התא הקולי ולקחת את קוד האימות משם. וזהו! יש לכם גישה לווטסאפ. עכשיו צריך במהירות ליצור אימות דו שלבי כדי לנעול את הקורבן מחוץ לווטסאפ שלו. וזהו, מעכשיו גם אם הוא ינסה לקבל מחדש את חשבון הווטסאפ שלו הוא לא יצליח כיוון שכל תהליך אימות מחדש יהיה מחויב קוד סודי שרק לתוקף יש. כל מה שנותר לעשות זה לפנות לתמיכה של ווטסאפ ולקוות לטוב. בינתיים התוקף יכול לגרום לנזק משמעותי. במיוחד כשכולנו בטוחים שאי אפשר לגנוב חשבון ווטסאפ.

הגנה

זה מעט מורכב אבל כאמור לא מחייב ידע טכני. אז מה עושים?

הגנה על התא הקולי

הדבר הראשון הוא לבטל מיידית את התא הקולי בחשבון. או לשנות את הסיסמה לסיסמה שהיא לא סיסמת ברירת המחדל. באופן אישי, ביטלתי את התא הקולי שגם כך לא היה לי בו שימוש.

הגנה על חשבון הווטסאפ

הדבר השני הוא הפעלת אימות דו שלבי בחשבון הווטסאפ. האימות הדו שלבי עובד ככה:
Settings -> Two-step verification
תידרשו להכניס קוד בן 6 ספרות שהוא ׳הסיסמה׳ שלכם. לא תוכלו לשייך טלפון חדש למספר שלכם ללא הקשת הסיסמה. כמו כן תידרשו גם להכניס כתובת מייל שאליה יישלח מייל במידה ותשכחו את הקוד. אחרי וידוא הפרטים, האימות הדו שלבי פועל החשבון שלכם מוגן.

אימות דו שלבי בווטסאפ מופעל
אימות דו שלבי בווטסאפ מופעל

אימות דו שלבי תלוי אפליקציה הוא מאוד מאוד חשוב לחשבונות חשובים. גישה לחשבון הווטסאפ היא קריטית עבורנו ויכולה להיות פתח לצרות ובעיות. זה כל כך קל להפעיל אותו שזו בדיחה. אל תקלו ראש בעניין הזה ועשו זאת עכשיו.

Picture of רן בר-זיק

רן בר-זיק

ארכיטקט תוכנה בכיר בסייברארק, עיתונאי טכנולוגיה בעיתון דה מרקר, מרצה בקריה האקדמית אונו ואוניברסיטת חיפה, אב לארבעה ילדים.

15 תגובות

  1. מעט מורכב? לא מורכב בכלל

  2. אבל לתא קולי יש פתיח של כמה שניות, הקראת קוד האימות תסתיים עד שההקלטה תתחיל…

    • יש גם שיטה לעקוף את זה

    • אלא אם הם מקריאים כמה פעמים.

  3. אתם מדברים שטויות כשנגנב לי הוואצאפ אני ינסה להיתחבר והוא יגיד לי ש וואצאפ שלי מחובר במכשיר אחר ואז הוא נותן אופציה לעבור מכשיר כמו בכל התחדשות במכשיר חדש וכשאני אבקש קוד אימות הוא יגיע למכשיר שלי בסמס או בשיחה ואופס הוואצאפ שלי שוב אצלי !!!

    • אבל יש דו שלבי שאי אפשר לעקוף דרך סמס או שיחה רק עם הקוד הנכון

    • לא, לא שטויות. התוקף מפעיל את האימות הדו שלבי ואז אתה ננעל מחוץ לחשבון. כדאי שתקשיב לאנשים שהם קצת יותר מבינים ממך.

  4. תודה רבה מחכים מאוד.
    המשך נא לכתוב מאמרים מחכימים שכאלו.

  5. לא הסברתם איך לבטל תיבה קולית.
    אני בכלל לא רואה פונקציה כזאת

  6. עם אני עושה מה שהפורץ עושה זה פשוט מגיע לתיבה שאני יכול להקליט מה שאני רוצה וזהו סך הכל זה לא נותן גישה לתיבהשל האחר….

  8. " מחייגים כוכבית 151 ואז את מספר הטלפון של הקורבן."

    אין לי את האפשרות להכניס מספר טלפון אחר 151 (סתם מנסה עם טלפון נוסף שלי)

  9. כוכבית 151 מוביל לתא הקולי של הלקוח; 151 ללא כוכבית, כאשר מיד לאחריו מספר הטלפון המבוקש (ללא הספרה אפס בקידומת) מאפשר לגשת אל תא קולי של אדם אחר.

  10. רן יא חמוד (וגם סקסי!) תודה שוב 🙂

  11. 1אם אני מתקשר לתא קולי של משהו אחר זה אומר לי להכניס את המספר אישי של הלקוח

השארת תגובה

פוסטים מומלצים

פוסטים נוספים שכדאי לקרוא

פתרונות ומאמרים על פיתוח אינטרנט

פברואר 11, 2024 תגובה אחת

פתרונות ומאמרים על פיתוח אינטרנט

SSG עם next

אחרי שלמדנו במאמר הקודם מה זה SSR והבנו שלא מדובר בקליע כסף שפותר את כל הבעיות שלנו, נלמד על SSG שיכול להקל על כמה מהבעיות של SSR.

ספטמבר 17, 2023 2 תגובות

חדשות אינטרנט

יולי 7, 2024 אין תגובות

מידע כללי על אינטרנט

מרץ 31, 2024 6 תגובות

DALL·E 2024-01-20 11.16.08 - A detailed illustration of a modern web architecture. The architecture includes a user interface layer with web browsers and mobile devices, a middle

למפתחי ובוני אתרי אינטרנט

ינואר 21, 2024 14 תגובות

DALL·E 2023-10-21 22.28.58 - Photo of a computer server room with red warning lights flashing, indicating a potential cyber threat. Multiple screens display graphs showing a sudde

יסודות בתכנות

דצמבר 10, 2023 אין תגובות