מספר ישראלים היו לאחרונה קורבן של חטיפת חשבונות וואטסאפ, ככל הנראה על ידי גורמים מסוריה. הפריצה לחשבונות נעשית בשיטת "Social Engineering" – היתול בקורבנות כך שימסרו להאקרים פרטים שיאפשרו להם להשתלט על המכשיר, מבלי שיבינו שזה המידע שהם מוסרים.
כל העדכונים על הבחירות - הצטרפו לטלגרם של החדשות
תחילה, מורידים התוקפים את האפליקציה למספר פיקטיבי ומצהירים שהמספר של הקורבן הוא מספרם שלהם. הקורבן מקבל הודעת SMS כחלק מתהליך האימות של האפליקציה, שנועד למנוע גניבת חשבונות – ובמקביל פונה התוקף לקורבן ומשכנע אותו למסור לו את הקוד שהתקבל, בטענה שהקליד בטעות את המספר הלא נכון באפליקציה או על ידי התחזות לחבר.
לא מעט משתמשים נענים לבקשה הלכאורה תמימה – ובשלב זה מזין התוקף את הקוד במכשירו, וכך מקבל גישה מלאה לחשבון הוואטסאפ של הקורבן. כך יכול התוקף ליצור קשר עם כל אנשי הקשר של הקורבן תחת זהותו ולקבל גישה לכל פרטי החשבון ללא הפרעה.
זאת ועוד: לאחר שחשבון "נחטף", אין אפשרות לאחזר אותו ולקבל בחזרה את השליטה המלאה עליו. המוצא היחיד שנותר בידי הקורבן הוא לפתוח חשבון וואטסאפ חדש – ללא כל אנשי הקשר והקבוצות בהן היה חבר, בעוד שכל פרטי החשבון המקורי נותרים בידי התוקף.
במעבדת קספרסקי, שסייעו לחלק מקורבנות שיטת התקיפה החדשה, מזכירים כי אין לחלוק קוד אימות עם איש, ובמידה שמתקבלת הודעה עם קוד כזה להתעלם ממנה.