Kto pozná váš 6-miestny PIN kód vo WhatsAppe, môže okamžite prevziať kontrolu nad účtom, čítať súkromné konverzácie a posielať správy všetkým vašim kontaktom. Na Slovensku sa také prípady už stali, upozorňuje portál Techbyte.sk.
Útočníci pritom nepotrebujú žiadne technické znalosti. Stačí, ak vás presvedčia, aby ste im kód poslali sami. Scenár býva vždy podobný: príde správa, že váš účet je v ohrození a na jeho „zabezpečenie“ musíte poskytnúť šesťmiestny kód. Ak to urobíte, útočník sa dostane nielen k správam, ale aj ku všetkým médiám, ktoré ste cez aplikáciu odoslali.
Dva kódy, jedna zámena
WhatsApp pracuje s dvoma rôznymi kódmi a ich zámenou podvodníci aktívne využívajú. Prvý je registračný SMS kód, ktorý dostanete pri zmene zariadenia. Druhý je 6-miestny PIN kód dvojfaktorového overenia (2FA), ktorý si vytvárate sami a ktorý by nemal poznať nikto iný. Práve tento PIN je podľa Techbyte.sk oveľa citlivejší: bez neho sa cudzí človek k účtu na novom zariadení nedostane ani s platným SMS kódom.
Kód by ste nemali zdieľať s nikým, ani s rodinou alebo priateľmi. Toto nie je len odporúčanie WhatsAppu. Slovenské prípady ukázali, že útočníci oslovujú obete cez správy od zdanlivo dôveryhodných kontaktov, ktorých účty už predtým ovládli.
MMI kódy a presmerovanie
Okrem krádeže PIN kódu existuje podľa poľského portálu Dobre Programy ďalší spôsob útoku. Podvodník môže naviesť používateľa, aby do telefónu zadal špeciálny MMI kód, čím nevedomky aktivuje presmerovanie hovorov a textových správ na číslo útočníka. Výsledok je rovnaký: strata prístupu k WhatsApp účtu. Techbyte.sk preto odporúča pravidelne kontrolovať nastavenia presmerovania hovorov priamo v telefóne.
Oba typy útoku spája jedna vec. Fungujú len vtedy, ak obeť niečo urobí sama. Zadá kód. Stlačí tlačidlo. Pošle číslo.
E-mail pri strate prístupu
Pri nastavovaní 2FA ponúka WhatsApp možnosť zadať e-mailovú adresu. Ak PIN kód zabudnete, aplikácia pošle na tento e-mail odkaz na deaktiváciu dvojfaktorového overenia. Bez zadaného e-mailu môžete ostať zablokovaní niekoľko dní, pokým situáciu nevyriešite cez podporu aplikácie. Táto možnosť teda nesúvisí len s bezpečnosťou pred útočníkmi, ale aj s vlastnou zábudlivosťou.
Zapnutie v piatich krokoch
Ak 2FA zatiaľ nemáte aktívne, postup je priamočiary. V aplikácii otvorte Nastavenia, zvoľte Účet, potom Dvojfázové overenie a klepnite na Zapnúť. Následne zadáte vlastný PIN kód. Celý proces zaberie menej ako dve minúty a podľa Techbyte.sk by ste ho mali urobiť ihneď.
Platforma zároveň ponúka end-to-end šifrovanie správ, no ani tá najsilnejšia šifra nepomôže, ak útočník ovládne samotný účet cez odcudzený PIN.
Na Slovensku sa prípady prevzatia WhatsApp účtov objavujú opakovane. Podľa servera Techbyte.sk útočníci v takých situáciách oslovujú obete práve cez kontakty, ktorých účty už kompromitovali, a celý reťazec sa tak rozrastá ďalej.
