Ať už se do telefonu nejbohatšího muže světa Jeffa Bezose dostali hackeři přes WhatsApp, a je jedno, zda za tím stál saúdský korunní princ Mohamed bin Salmán, nebo kdokoliv jiný, faktem je, že se aplikace vlastněná Facebookem v posledních několika měsících potýká s velmi vážnými problémy se zabezpečením.
A jako by toho nebylo dost, přicházejí další. Tentokrát nejde o útoky ohrožující stát nebo integritu samotné platformy. Terčem je naše závislost na sociálních sítích a neochota slevit z ní výměnou za bezpečnost našich telefonů.
Nový útok využívá až stupidně jednoduchého triku a stejně
tak prosté je se mu ubránit. Aplikace WhatsApp nabízí základní
bezpečnostní nastavení, které ale s největší pravděpodobností
nevyužíváte, přestože byste měli – jeho aktivace zabere méně
než minutu. Jakmile dočtete tenhle článek, mrkněte schválně na
nastavení na vašem telefonu a rychle to napravte.
WhatsApp a podobné platformy představují pro uživatele hned několik rizik. Loni hackeři zaútočili v USA na úřady, a to spywarem rozeslaným mezi předem pečlivě vytipované lidi. Pak přišly útoky pomocí zavirovaných souborů poslaných v příloze zprávy a nakonec hackeři vybrané lidi z aplikace vyblokovali tak, že už se do ní znovu nemohli přihlásit.
WhatsApp sice zareagoval a jmenované bezpečnostní hrozby eliminoval, dokonce odhalil a opravil slabinu, na kterou ještě hackeři nestačili zaútočit. Jenže tahle poslední úprava stojí a padá na spolupráci s uživatelem, který by jí měl věnovat už zmiňovanou minutku času.
Minulý víkend nás ve společném chatu varovala kamarádka před podezřelou zprávou odeslanou pod jejím jménem – její telefon byl napaden, tvrdila, a my bychom rozhodně za žádnou cenu neměli nikam „zadávat jakékoli šestičíslí“. Všechno nasvědčovalo tomu, že se útočníci zmocnili jejího účtu na WhatsAppu a získali přístup ke všem telefonním číslům v našem chatu.
Díky tomu potom mohli jejím jménem rozeslat nám všem zprávu, v níž stálo, že zakrátko obdržíme SMS a jestli bychom byli tak laskaví a poslali ji obratem na její telefonní číslo. Hacking v plné parádě. Kdo by si lámal hlavu s tak banální prosbou naší společné kamarádky a nevyhověl jí?
Problém je, že tahle SMS zpráva byla ve skutečnosti ověřovací kód k účtu WhatsApp toho kterého obeslaného uživatele. Tím, že bych ji já nebo kdokoliv jiný z nás odeslal zpátky údajné kamarádce, bych pak kód ve skutečnosti sdílel s útočníky. Těm by pak stačilo nově nainstalovat WhatsApp, připojit se a následně by se snadno zmocnili mého i dalších účtů.
Je to celé jednodušší než vzít SIM kartu a vložit ji do nového mobilu. Jakmile se hackeři zmocní účtu, můžou psát dalším členům chatu a skupiny a získávat od nich další a další kontakty. Mobil zůstane nedotčený, jen se prostě váš WhatsApp „přestěhuje“ na cizí zařízení.
Podobnému průšvihu přitom můžete snadno zabránit. Spusťte WhatsApp a v Nastavení si definujte vlastní šestimístný kód (pokud si nejste jistí, že si jej zapamatujete, přidejte k tomu svůj e-mail, kam vám v případě, že zapomenete, přijde nový PIN kód). Tenhle kód je jiný než ten, který jste zadávali, když jste si aplikaci v telefonu instalovali. Jde zkrátka o dvojí zabezpečení.
Takže i kdybyste se s útočníky podělili o vaše heslo, nebudou mít váš PIN kód. Udělejte to pro jistotu v každém případě, přestože jste přesvědčení o tom, že právě vás by nenachytali a že byste na podobnou SMS prostě nereagovali. Jak už jsme řekli, celý proces zabere necelou minutu.
Berte to tak, že nejste v ohrožení jen vy sami, ale hlavně všichni ti, které máte uložené v kontaktech. To z nich budou pak útočníci lákat data, nebo dokonce peníze.
Pokud jste se stali obětí podobného útoku, můžete snadno
reaktivovat svůj mobil novou SMS zprávou a vrátit všechno zpátky.
Útočníci se pak nejspíš budou snažit vás zmást další SMS
zprávou, ale nenechte se.
Je zarážející, jak velká spousta lidí nemá ve WhatsAppu aktivované zabezpečení – téměř nikdo z těch, které jsem aktuálně oslovil. Pokud jste na tom stejně, pak to prosím co nejrychleji napravte. Vím, že se nedáte chytit na tak levný trik, jako bylo přeposlání SMS zprávy, ale udělejte to.
