После того как на телефон Джеффа Безоса было загружено вредоносное видео, отправленное через WhatsApp, это событие, возможно, заставило всех вас задуматься о безопасности ваших телефонов и задуматься о том, как легко ваше устройство может быть взломано. Существует множество инструментов, советов и приемов, как наилучшим образом защитить два миллиарда пользователей WhatsApp от киберпреступников, но истина состоит в том, что, если злоумышленник достаточно настойчив, мы мало что можем сделать, кроме как защитить себя наилучшим образом… и надеяться, что злоумышленники переключатся на менее защищенные цели.
Но когда речь заходит о WhatsApp, можем ли мы сделать что-то еще для защиты своего аккаунта? Сообщения уже зашифрованы, а это означает, что сотрудники правоохранительных органов не могут напрямую проверить эти частные разговоры, но есть ли какой-то иной способ проникнуть в устройство? Ключ шифрования сообщения WhatsApp установлен на обоих устройствах, используемых в диалоге, поэтому злоумышленнику для чтения этих чатов необходимо заполучить ключ на одном или другом устройстве.
Именно в этом месте большинство читателей могут самодовольно улыбнуться, поскольку они на своих устройствах используют сложный PIN-код или биометрическую запись. И все-таки можно ли контролировать аккаунт человека, просто зная его номер телефона? Это очень возможно и пугающе просто, но есть способы, как снизить риск и не допустить того, чтобы это произошло с вашим аккаунтом. Я опишу их в конце этого поста.
Так в чем же проблема?
Когда вы покупаете новый телефон и устанавливаете все существующие приложения и настройки, вы восстанавливаете данные из резервной копии, причем WhatsApp требует отправить код на номер телефона. Этот код (обычно отправляемый на устройство, на котором вы устанавливаете приложение) подтвердит правильность телефона, и вы вернетесь в свои чаты. Если у вас также есть резервная копия сообщений, они будут отображаться вплоть до последнего резервного копирования устройства; в противном случае имена людей и групп, с которыми вы разговариваете, будут отображаться без сообщений.
И здесь я вижу потенциальный недостаток. Могу ли я настроить чужой аккаунт WhatsApp на новом устройстве, просто перехватив код, отправленный на телефон получателя?
На прошлой неделе я решил проверить свою гипотезу на одной из моих коллег (которая обычно становится объектом моих экспериментов в области социальной инженерии, но всегда рада поучаствовать). Примечание: не проверяйте это на людях, которые прямо не дали вам предварительного разрешения!
Недавно в одной из наших бесед я упомянул, что всегда полезно создавать резервную копию чатов WhatsApp, если она почему-то этого не делает, поскольку я не хочу, чтобы она потеряла их навсегда. Через несколько дней я воспользовался своим запасным телефоном и загрузил приложение. Оно запросило мой номер телефона для проверки устройства, на котором оно должно быть установлено.
Некоторое время спустя моя коллега вышла из-за стола, чтобы приготовить кофе, оставив свой телефон на столе, и я ввел ее номер телефона в свой новый аккаунт WhatsApp. Ее телефон мгновенно получил сообщение (в беззвучном режиме), я быстро прошел мимо ее стола, запомнив код. Я набрал его в поле подтверждения на своем запасном телефоне… И вуаля, я получил контроль над ее аккаунтом.
Я мог видеть все ее чаты в приложении, но никаких сообщений. Чтобы перейти на следующий уровень, я нашел чат под названием «The Hunz», на который я отправил сообщение «Привет! У меня отвратительный день… присылайте мемы!», на что получил массу забавных ответов от ее ничего не подозревающих друзей.
Когда моя коллега вернулась к своему столу со своим латте, она не заметила, что я обменивался мемами с ее друзьями, а я в это время тихо посмеивался в сторонке. Через несколько минут она взглянула на свой телефон и произнесла вслух: «Странно, я почему-то получила код от WhatsApp». Я заметил ее задумчивый взгляд, но позже узнал, что все, что она сделала, это удалила код.
Затем я решил открыть карты и рассказал ей, что только что произошло. Она не могла поверить, насколько легко было завладеть ее аккаунтом, и выразила мнение, что обычные пользователи должны иметь более высокий уровень безопасности. Она справедливо отметила, что многие люди оставляют свои телефоны без присмотра, но ничего не думают об этом, даже в общественных местах, таких как рестораны и бары. Вскоре я отменил свои действия на ее телефоне и вернул ей полный контроль над ее аккаунтом, а затем дал ей совет, как предотвратить такую атаку.
Итак, как вам остаться в безопасности?
Во-первых, вам следует отключить предварительный просмотр в ваших SMS-сообщениях. Это может восприниматься как само собой разумеющееся, но многие люди любят просматривать сообщения еще быстрее. Когда люди используют двухэтапную аутентификацию (также называемую двухфакторной аутентификацией) без приложения для аутентификации, они, как правило, получают коды, отправленные с помощью SMS, но если их можно просматривать на заблокированном экране, они несколько бесполезны для пользователя, который оставил свой телефон без присмотра.
Поэтому, во-вторых, вам никогда не следует оставлять свой телефон или любое устройство без присмотра. Миллион раз я был свидетелем того, как пассажиры в поездах засыпали, а их телефоны оставались лежать на столике, или, выходя в туалет, оставляли свои телефоны среди незнакомых людей. Кроме того, в каждой компании найдется немало паршивых овец, поэтому, даже если вы доверяете своим коллегам, всегда есть шанс, что кто-то на вашем предприятии может попытаться применить этот вектор атаки – следовательно, лучше никогда не оставлять свое устройство без присмотра.
Наконец, есть еще лучший способ защиты своего аккаунта, которым необходимо воспользоваться прямо сейчас. Несколько лет назад приложение WhatsApp создало свою собственную двухшаговую проверку приложения, которая проста в выполнении и способна остановить эту атаку. Ниже описан процесс, как это сделать, поэтому откройте приложение и настройте его!
Как настроить двухшаговую проверку в WhatsApp
При открытом приложении перейдите на Настройки/Аккаунт/Двухшаговая проверка и нажмите на Включить. Затем введите шестизначный код, который вы не забудете.
Затем введите свой адрес электронной почты в качестве дополнительной защитной меры. Наконец, вы увидите подтверждение двухшаговой проверки, установленной на вашем телефоне, так что постороннему будет намного сложнее взломать ваш аккаунт или перенести ваши сообщения на другое устройство.
Теперь вам будет предложено ввести PIN-код в случайным образом выбранное время при открытии WhatsApp. Это будет происходить не каждый раз, когда вы открываете приложение, поэтому это не должно причинять больших неудобств.
Но это сделает вас лучше подготовленными к использованию более безопасных технологий.