Пользователи WhatsApp из разных стран мира стали жертвами киберпреступников, которые получают полный доступ к их аккаунту в мессенджере, используя процесс привязки номера телефона и SMS-подтверждения данного действия.
Новая схема крайне простая – в ней задействуется социальная инженерия. Если человек купил новый смартфон, то для авторизации в WhatsApp ему требуется верифицировать устройство путем ввода SMS-кода.
Если киберпреступник сумел узнать номер телефона жертвы и SMS-код, то он имеет возможность сразу получить полный доступ к сторонней учетной записи.
Схема предельно простая:
- Киберпреступник в приложении WhatsApp указывает номер телефона постороннего человека, у которого ранее уже была похищена учетная запись со всеми контактами.
- Затем он отправляет знакомому этого человека сообщение о том, что WhatsApp якобы не присылает ему код, поэтому он просит, чтобы этот знакомый принял код от мессенджера, а после переслал ему.
- Если человек высылает SMS-код, то злоумышленник сразу получает доступ к его учетной записи в WhatsApp.
Несмотря на всю простоту схемы, даже знающие о способах мошенничества люди не смогут сразу догадаться. Потому что они не думают о том, что присылаемый SMS-код от мессенджера сопряжен с их номером телефона, а не с телефоном «знакомого».
Подобная схема мошенничества существует лишь потому, что мессенджер WhatsApp не проверяет номер телефона пользователя на самом устройстве, требуя только подтвердить действие через SMS.
Киберпреступники также активно пользуются другим способом мошенничества – они создают аккаунты якобы администрации WhatsApp, рассылают с них множество сообщений сторонним пользователям о том, что те должны отправить «администрации» данные о входе в учетную запись. Мало кто попадается на такую уловку, но ее злоумышленники все равно до сих пор используют.