Masz WhatsAppa? Jeden "tajemniczy kod" i tracisz konto
Użytkownicy WhatsAppa muszą być wyczuleni na wiele ataków, w tym próby oszustów związane z kodami MMI. Chodzi o manipulację rozmową, w wyniku której ofiara zgodzi się wprowadzić w telefonie "tajemniczy kod". W konsekwencji straci w ten sposób dostęp do własnego konta WhatsAppa.
Komunikator WhatsApp cieszy się sporą popularnością zwłaszcza w Polsce, a przez to jest regularnie na celowniku atakujących. Jednym z problemów jest mało znana forma oszustwa zaczynająca się od manipulacji podczas rozmowy - opisywał ją niegdyś Bleeping Computer. Oszust stara się zasugerować przyszłej ofierze, że konieczne jest wprowadzenie specjalnego ciągu znaków w jej telefonie. Chodzi o kod MMI, który spowoduje włączenie bezwarunkowego przekazywania połączeń i SMS-ów na numer telefonu atakującego.
To otwarta droga do szeregu oszustw, w tym uproszczenie procesu przejęcia konta na WhatsAppie. Znając numer telefonu ofiary, oszust może podjąć próbę logowania w nowym telefonie. Operacja zostaje uwierzytelniona 6-cyfrowym kodem wysyłanym przez automat WhatsAppa na dany numer telefonu. Kluczem jest więc ustawione wcześniej (nieświadomie przez ofiarę) przekierowanie rozmów i SMS-ów, w wyniku czego kod w praktyce trafi do atakującego. Konto WhatsAppa zostanie przejęte w kilka chwil.
Opisywane oszustwo polega więc w pełni na manipulacji i bazowaniu na łatwowierności osób, które mniej znają się na technologii i z jakichś przyczyn ufają obcej osobie sugerującej im jakieś działania. Nie można przy tym wykluczyć, że ofiara jest przekonana, że rozmawia z kimś znajomym lub nawet rodziną - oszust mógł przecież wcześniej przejąć konto innej osoby, na przykład na Facebooku.
Dalsza część artykułu pod materiałem wideo
Czy warto kupić laptop MacBook Pro 14 (2023)?
Masz WhatsAppa? Oto, jak się zachować
Użytkownikom WhatsAppa przypominamy, że oszuści wykorzystują każdy pretekst, by zdobyć zaufanie swoich ofiar. Na podobnej zasadzie funkcjonują odbywające się już w pełni w komunikatorze manipulacje związane z "odbieraniem środków" za zamówienie przez osoby sprzedające przedmioty w internecie. Atakujący zakłada, że przyszła ofiara nie jest w pełni świadoma tego, co robi i chętnie skorzysta z jego "pomocy".
W każdym przypadku tego typu kontaktów i próśb o wykonanie jakichkolwiek czynności, radzimy dwa razy zastanowić się, czy nie jest to próba manipulacji. Dokładnie na tej samej zasadzie niektórzy są skłonni instalować w swoich telefonach oprogramowanie do zdalnego dostępu, a w efekcie tracą pieniądze z konta bankowego.
