網上騙案層出不窮,犯罪份子甚至偽裝網上投票網頁再加上社交網絡上的社交工程,盜竊受害者的WhatsApp帳號,儘管類似的手法並不罕見,但是稍一不慎點擊了連結,便有機會成為另一個受害者。
WhatsApp散播的網絡釣魚
網絡犯罪份子首先建立一個有說服力的釣魚網頁,偽裝成為合法的投票,沒有固定題材而且容易改變,網頁像真度頗高,包含了真實參加者的照片、投票按鍵和已投票的數量,其實就像使用AI和釣魚工具包一樣,攻擊者很容易就能製作相同網站的不同語言版本,暫時已發現的投票有英語、西班牙、德語、土耳其、丹麥、保加利亞和其他語言。
第一階段是引誘受害者上釣,在社交網絡、通訊軟件或電郵上,騙徒使用社交工程技術導引受害者前往假投票網站,遊說的訊息具有一定說服力,甚至是透過被入侵的朋友或親友的帳號發送訊息,要求通常個人化,第一條訊息先冒充就人要求參與某個投票,很可能是冒充家人、朋友或親屬。第二階段是投票陷阱,受害者會被帶到一個網頁要求WhatsApp的快速登入憑證,要求輸入連結到通訊程式的電話號碼。第三階段就是騎劫,攻擊者使用WhatsApp Web一次性密碼登入的功能,他們輸入受害者提供的電話號碼,WhatsApp產生一組8個位的一次性核實碼,攻擊者立即在假網站顯示該編碼再加上指示,打開WhatsApp前往「Connected devices」(其實是WhatsApp的「Linkded devices」)輸入該編碼,為了方便甚至提供了一個複製鍵複製到剪貼簿。
同一時間受害者手機上的WhatsApp會顯示輸入編碼連結新裝置的通知,點擊後打關警告有人嘗試連結你的帳號,以及輸入編碼的位置。不幸地受害者有時候很希望幫助陌生人,也有很多用戶不理會WhatsApp的警告,無視有人想連結他的帳號的通知而堅持要「投票」,當輸入了一次性編碼後攻擊者的Web版登入便能啟動,繼而完全存取受害者的WhatsApp,如果受害者自己同時在手機和電腦登入,攻擊者可查看聯絡人然後展開進一步的詐騙,例如借受害者的身份向其他聯絡人詐騙金錢,或者使用帳號散播相同的釣魚連結。
如果被入侵後該如何應對
如果懷疑自己已被詐騙,已把WhatsApp帳號存取交到攻擊者手上,首先要做的事是打開手機WhatsApp的設定,然後前往Linked devices,這裡可以看見現事登入你帳號的所有裝置,如果發現陌生裝置或瀏覽器,點擊它們然後選擇終斷,行動必需要快,比犯罪份子完全奪取帳號之前行事。
如何防範WhatsApp帳號被入侵
- 永不參加可疑的比賽或投票,尤其需要通訊軟件登入憑證,合法投票不會要求存取你的個人帳號。
- 不要點擊可疑連結,即使來自朋友或親屬,但也有可能他們已被入侵。
- 永不在陌生網站輸入個人資料,尤其來自通訊軟件或社交媒體的連結,時刻小心核查網址。
- 不要無視瀏覽器警告不安全網站,Kaspersky的防護方案能掃瞄連結和網頁、攔截網絡釣魚和惡意資源。
- 在WhatsApp設定啟動雙重登入驗證,在新裝置登入時需要輸入6位密碼,使攻擊者更難入侵,但這不能防範上文提及的一次性密碼方法。
- 使用passkey取代傳統密碼,WhatsApp已支援passkey作為帳號驗證。
- 防範流動裝置的網絡釣魚,透過保安方案進行三重防禦,第一重是通知防護,偵測和自動移除來自應用程式通知的惡意連結,第二重是在用戶點擊前攔截來自SMS和通訊程式的有害連結,最後是瀏覽器攔截惡意網址。
- 定期檢查已連結裝置清單,如果發現可疑連線便應該盡快終斷。
- 只使用官方版本的通訊程式
- 使用桌面版通訊程式時格外小心,尤其在工作電腦上。
資料來源:Kaspersky Blog
