Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) wydało pilne ostrzeżenie dla wszystkich użytkowników popularnego komunikatora WhatsApp w Polsce. Eksperci ds. cyberbezpieczeństwa zaobserwowali nową, zmasowaną kampanię phishingową, której celem jest przejęcie kontroli nad naszymi kontami. Oszuści wykorzystują prosty, ale niezwykle skuteczny mechanizm, oparty na socjotechnice i fałszywych linkach, aby w łatwy sposób wyłudzić od ofiar kody weryfikacyjne. Wojsko apeluje o zachowanie szczególnej ostrożności i czujności, ponieważ skala zagrożenia jest bardzo wysoka, a utrata kontroli nad kontem WhatsApp może prowadzić do poważnych konsekwencji.
Jak działa nowe oszustwo?
Mechanizm ataku jest prosty, co czyni go szczególnie niebezpiecznym. Wszystko zaczyna się od niewinnie wyglądającej wiadomości, którą otrzymujemy na WhatsApp. Najczęściej pochodzi ona od kogoś z naszej listy kontaktów, znajomego lub członka rodziny, którego konto zostało już wcześniej przejęte przez hakerów.
Wiadomość ta zawiera zazwyczaj krótką, zachęcającą treść oraz link, który ma rzekomo prowadzić do albumu ze zdjęciami. To klasyczny przykład phishingu, w którym przestępcy, podszywając się pod zaufaną osobę, próbują skłonić nas do kliknięcia w niebezpieczne łącze.
Przejęcie konta w kilku krokach.
Po kliknięciu w link, ofiara jest przenoszona na fałszywą stronę internetową, która do złudzenia przypomina prawdziwą witrynę. Na stronie tej pojawia się prośba o podanie swojego numeru telefonu w celu weryfikacji. Następnie, system prosi o wpisanie sześciocyfrowego kodu, który właśnie otrzymaliśmy w wiadomości SMS od WhatsApp.
To jest kluczowy i najniebezpieczniejszy moment całego oszustwa. Podany przez nas kod nie jest w rzeczywistości kodem do obejrzenia zdjęć, ale jednorazowym hasłem, którego WhatsApp używa do zarejestrowania naszego numeru na nowym urządzeniu. Wpisując go na fałszywej stronie, przekazujemy go bezpośrednio hakerom, którzy w tym samym momencie rejestrują nasze konto na swoim telefonie.
Konsekwencje ataku.
W momencie, gdy hakerzy uzyskają kod i zarejestrują nasze konto, my natychmiast tracimy do niego dostęp na swoim telefonie. Od tej pory, przestępcy mają pełną kontrolę nad naszą tożsamością w komunikatorze. Mogą oni podszywać się pod nas i wysyłać wiadomości do wszystkich naszych kontaktów, na przykład z prośbą o pożyczkę pieniędzy lub o podanie wrażliwych danych.
Przede wszystkim jednak, wykorzystują oni przejęte konto do dalszego rozprzestrzeniania oszustwa, wysyłając do naszych znajomych kolejne fałszywe linki. W ten sposób, atak rozprzestrzenia się w sposób lawinowy. Hakerzy mogą również uzyskać dostęp do informacji o grupach, do których należymy, co stwarza dodatkowe ryzyko.
Jak się chronić? Oficjalne zalecenia.
Wojska Obrony Cyberprzestrzeni w swoim ostrzeżeniu apelują o zachowanie podstawowych zasad cyfrowej higieny. Przede wszystkim, należy podchodzić z dużą dozą nieufności do wszelkich nieoczekiwanych wiadomości, nawet jeśli pochodzą od znajomych, które zawierają linki i obietnicę zobaczenia sensacyjnych zdjęć czy filmów. Zawsze warto w takiej sytuacji dodatkowo potwierdzić autentyczność wiadomości, na przykład dzwoniąc do tej osoby.
Absolutnie pod żadnym pozorem nie należy nikomu podawać ani wpisywać na żadnych stronach internetowych kodów weryfikacyjnych, które otrzymujemy w wiadomościach SMS od WhatsApp. Te kody są prywatne i służą wyłącznie do aktywacji konta na naszym własnym urządzeniu. Pamiętajmy, że żaden serwis nigdy nie prosi o podanie takiego kodu na stronie internetowej.
Weryfikacja dwuetapowa. Twoja dodatkowa tarcza.
Najskuteczniejszym sposobem na zabezpieczenie swojego konta przed tego typu atakami jest włączenie weryfikacji dwuetapowej w ustawieniach aplikacji WhatsApp. Jest to dodatkowa warstwa zabezpieczeń, która wymaga podania ustalonego przez nas, sześciocyfrowego kodu PIN przy każdej próbie zarejestrowania naszego numeru telefonu na nowym urządzeniu.
Nawet jeśli hakerom uda się wyłudzić od nas kod weryfikacyjny z wiadomości SMS, to bez znajomości naszego prywatnego kodu PIN, nie będą oni w stanie przejąć kontroli nad naszym kontem. Aktywacja tej funkcji zajmuje dosłownie minutę, a znacząco podnosi poziom naszego bezpieczeństwa. To prosty krok, który każdy użytkownik WhatsApp powinien wykonać.
