Atak przez WhatsApp. Czy nasz numer telefonu naprawdę jest prywatny?

Atak przez WhatsApp. Czy nasz numer telefonu naprawdę jest prywatny?

W połowie września zmasowany atak hakerów dotknął wielu użytkowników aplikacji WhatsApp w Opolu. I choć co chwilę słyszymy ostrzeżenia, aby nie klikać w podejrzane wiadomości, na to oszustwo nabrało się mnóstwo osób. Czy to dlatego, że wiadomość przyszła od "znajomego" i oszuści bardzo skutecznie uśpili naszą czujność?

- Ten atak był skuteczny z dwóch powodów. Po pierwsze, rzeczywiście wiadomości otrzymaliśmy od osób, które znamy. A WhatsApp w jakimś stopniu traktujemy jako źródło zaufane, a wiadomości tam odbierane za prywatne. Kierowane konkretnie do nas. Zdecydowanie bardziej im ufamy, niż np. wiadomościom e-mail. Co do zasady - wiadomościom z komunikatorów bardziej wierzymy. Po drugie, atakujący zastosowali wysoce wyrafinowaną metodę socjotechniczną. Napisali do nas inaczej niż jak do zwykłych użytkowników internetu. Zwrócili się jak np. do rodziców albo przyjaciół. Atak polegał na tym, że poproszono nas o zagłosowanie na Dorotkę, która ćwiczy gimnastykę artystyczną i walczy w konkursie.

To skuteczniejszy haczyk niż np. prośba o głosy, bo ktoś zbiera punkty w grze znanej marki, jakiegoś marketu? Tego typu oszustwo nie tak dawno krążyło po komunikatorach.

- Zdecydowanie. Dlatego, że tu w naturalny sposób chcemy pomóc komuś znajomemu. Albo też znajomemu naszego znajomego: np. rodzicowi, kuzynowi, wujkowi itp. Chcemy, żeby ta jego córka, siostrzenica, bratanica itp. wygrała w tym konkursie. Bo ona przecież się stara, ćwiczy, poświęca swój czas na pracę na parkiecie. Każdy z nas wspiera takie inicjatywy, prawda? Po ludzku chcemy pomóc. Przekaz był tak skuteczny, ponieważ uderzył w nas prywatnie na wielu poziomach.

Po analizie wiadomości, która przyszła na WhatsApp, można też zauważyć, że nie wzbudzała większych podejrzeń, nikt nie myślał, że to atak hakerów. Sam link do konkursu także sugerował bezpieczną stronę. Nie było tam podejrzanych znaków, "krzaczków”, charakterystycznych dla zawirusowanych wiadomości i linków.

- Tak, rzeczywiście domena wyglądała zwyczajnie, zupełnie jak domeny systemów do głosowania lub podobnych systemów dostępnych online. A cała kampania była bardzo ładnie graficznie i językowo przygotowana. Użyto idealnej polszczyzny, stroje dzieci podkreślały lokalność, słowiańską kulturę - generalnie nasz region. W dodatku to nie była tylko Dorotka, bo widoczna była jeszcze inna uczestniczka. To był dla nas dodatkowy bodziec. Nasz głos jest na wagę, prawda? Jednocześnie to pewna nowość w tego typu atakach: otrzymaliśmy znak, że jesteśmy istotni, naszą wartość wyniesiono wyżej.

Ta sytuacja pokazuje, że nasz numer prywatny wcale takim nie jest. Nawet jeśli dobrowolnie go nie udostępniliśmy. Jak dochodzi do takich zmasowanych ataków, jak wyciekają nasze dane - telefony, maile?

- Często staramy się, żeby mieć jeden numer telefonu przez długi czas. Powód jest prosty: jesteśmy pod tym jednym numerem dostępni dla wszystkich osób z naszego otoczenia. W związku z tym bardzo często jest tak, że Polacy mają jeden numer 10, 15, a nawet i 20 lat. Ale po 10, 15, 20 latach nasz numer jest w książkach adresowych być może setek osób... Na przykład wyląduje w książce adresowej ślusarza albo hurtowni, która do nas dzwoniła i oddzwaniała czy 50 klinik medycznych i nie tylko. I ten numer nie będzie już tylko w książce matki, ciotki, babci, syna itd. To nam się wydaje, że nasz numer jest prywatny i nieznany, bo nie jest ogólnie dostępny być może w internecie. Ale za to jest dostępny w setkach innych książek adresowych. Innych ludzi, innych telefonów.

A tego typu atak hakerów przez aplikację w telefonie, taką, jak WhatsApp, udostępnia go jeszcze szerzej…

- Gdy oszust przejmie - w tym przypadku aplikację WhatsApp - to z automatu przejmuje on dostęp do niej, czyli danych w niej zawartych. To znaczy, że ma dostęp do całej książki adresowej, którą ktoś zbierał latami. A ta książka ma dużą wartość, prawda? Wiadomo, do kogo możemy zadzwonić. To może być ktoś, z kim zetknęliśmy się dosłownie raz w życiu, 20 lat temu. Ale on ma nasz numer w swojej książce adresowej i to wystarczy hakerom.

Wygląda na to, że nawet jak dbam o ochronę moich danych i jestem ostrożna, to ktoś, kto ma mój numer i padł ofiarą ataku, to bezwolnie przekaże go dalej…

- Nie do końca. Współcześnie każdy powinien zachowywać ostrożność. Nawet jeśli otrzymujemy wiadomość od znanej nam osoby, której ufamy. Przejęcia kont na WhatsApp, Facebooku, LinkedIn, OLX czy Allegro są po prostu są codziennością. Dostając wiadomość prywatną na tych platformach społecznościowych, musimy się liczyć z tym, że ona nie jest od tej osoby, od której myślimy, że ona jest. Nie da się tego zmienić.

Można być oczywiście ostrożnym, ale nasuwa się pytanie, jak przeciętny człowiek ma się w tym połapać…

- Świat informatyzacji jest teraz bardzo, bardzo złożony. On powoduje nawet pewne zamglenie… Ja także tę wiadomość na WhatsApp otrzymałem. I choć jestem informatykiem z branży bezpieczeństwa, w pierwszej kolejności chciałem oczywiście naturalnie pomóc. Przecież my Polacy lubimy pomagać, wspierać. Zatrzymałem się dopiero w momencie, kiedy strona mnie poprosiła o przepisanie kodu do WhatsAppa. Dopiero wtedy zauważyłem, że ta platforma jest złośliwa. Ale cała strona była świetnie zrobiona.

Kiedy więc następuje realne zagrożenie dla naszych urządzeń i informacji wrażliwych? Czy samo kliknięcie w - jak się zwykle po fakcie okazuje - feralny link jest już drogą do przejęcia naszych komórek czy komputerów, a w dalszej perspektywie danych czy pieniędzy z konta? Czy następuje to dopiero w kolejnych etapach? 

- To zależy. Czasami samo kliknięcie już doprowadza do czegoś, co my nazywamy kompromitacją hosta, czyli przejęciem kontroli nad hostem. Nie ma znaczenia, czy chodzi o smartfona, komputer stacjonarny, laptop czy tablet. Smartfon to jest komputer, tylko wygląda inaczej. To są jednak rzadkie sytuacje, bo przed tym chronią nas producenci komputerów i smartfonów poprzez aktualizację. Pod warunkiem, że wszystkie elementy systemu operacyjnego są aktualizowane, czyli i system operacyjny, smartfona, komputera, tabletu, i aplikacje na nich zainstalowane. W przypadku, gdy tej ochrony bieżącej nie ma, to fakt – jedno kliknięcie może wystarczyć.

Co czeka tych, którzy nie zorientowali się, że otrzymali fałszywą wiadomość i przeszli kolejne etapy?

- W tym konkretnym przypadku atak technicznie polegał na skonfigurowaniu drugiego dowiązanego urządzenia do konta WhatsApp. Ogólnie oznacza to tyle, że mamy drugie urządzenie (drugi smartfon, drugi komputer - red.), na którym możemy wysyłać, odbierać i czytać wiadomości. Innymi słowy tak, jak gdyby ktoś miał klon swojego WhatsApp na innym komputerze. Tak na to można popatrzeć.

Ktoś powie, że taki atak to nic takiego, bo nasze dane i tak krążą w różnych bazach. To jakie więc realnie mogą być z tego problemy?

- Przede wszystkim proszę zwrócić uwagę, że współcześnie z różnych komunikatorów, w tym z WhatsAppa korzystamy trochę jak z maila czy z SMS-a. Oznacza to, że w historii wiadomości są choćby prywatne zdjęcia z wakacji. Ale to jest najmniejszym problemem…

To kiedy będzie poważniejszy?

- Np. jechaliśmy w jakąś podróż i zostawiliśmy na komunikatorze zdjęcia dowodów osobistych, paszportów, ubezpieczenia. Albo wysyłaliśmy hasła - przez WhatsApp, SMS - które są potrzebne do otworzenia spakowanego maila. Na co dzień dzielimy się w aplikacji poufnymi ustaleniami na grupach prywatnych, jak i roboczych w pracy. Piszemy np. o planach budżetowych, biznesowych, naszych zadaniach w administracji publicznej. Gdy ktoś przejmuje naszą aplikację, ma dostęp do wszystkiego, o czym myśmy pisali tam w różnych wiadomościach, dajmy na to przez dziesięć lat. Oszust poznaje informacje tajne: dane naszej mamy, córki, szefa, pracowników itp. To jest bardzo poważna sprawa.

Kiedy i jak te informacje hakerzy mogą wykorzystać?

- Tego nigdy nie wiemy. Ale gdyby ktoś chciał się podszyć pod nas, to on wie o nas bardzo wiele z tych dziesięciu ostatnich lat, czyli nasza tożsamość cyfrowa przestała być poufna. I to jest już samo w sobie dramatyczną sytuacją. Takimi danymi można np. nauczyć model AI, żeby nas skutecznie udawał. Ale to nie jest jedyny problem. Drugie zagrożenie jest takie, że każde konto przejęte od razu jest używane do przejmowania innych kont. Nasze dane są automatycznie kopiowane: wiadomości, zdjęcia... cała historia jest zachowywana. Momentalnie atak przeprowadzany jest na całą książkę adresową. I tak cały scenariusz się powiela, kolejna osoba jest atakowana w ten sam sposób. Atakujący wiedzą, że mają bardzo małe okno czasowe, zanim ktoś się zorientuje, że coś jest nie w porządku. Dlatego nie marnują czasu.

Warto więc kasować wiadomości na komunikatorach, szczególnie dotyczące wrażliwych tematów.

- Absolutnie nie powinniśmy takich wiadomości przechowywać na poczcie e-mail czy na takich platformach komunikacyjnych, jak np. WhatsApp, Messenger itd. Raz jeszcze podkreślę, że nie możemy tam przechowywać takich rzeczy, jak zdjęcia dowodów, paszportu, blankietów ubezpieczeń, wniosków do urzędów. Nie tylko naszych, ale też tych, które dostajemy mimowolnie od znajomych, od przyjaciół, od współpracowników.

I tu pojawia się ważna, choć bagatelizowana kwestia zmiany haseł naszej poczty e-mail.

- Jeśli ktoś nam przejmie skrzynkę, bo mamy na przykład słabe hasło albo to hasło wypłynęło w jakimś wycieku danych, to my nie odzyskamy nawet dostępu do tego konta e-mail. Bywa tak, że nie jesteśmy w stanie udowodnić, że jesteśmy tak naprawdę jego właścicielem.

Dobre hasło do konta jest…

- …przede wszystkim długie. Na dziś przyjmuje się, że bezpieczne hasło jest wtedy, gdy ma około szesnastu znaków. Nie musi być skrajnie skomplikowane, ale powinno być nieoczywiste.

Co może zrobić osoba, której konto zostanie tak przejęte?

- Niezależnie od tego, czy przejęte jest konto na WhatsAppie, Facebooku czy gdziekolwiek indziej, to po pierwsze trzeba to zgłosić firmie, która tą platformą zarządza. Ona ma odpowiednią procedurę, żeby zabezpieczyć innych użytkowników tej platformy. Akurat konta WhatsApp-owe są sparowane z naszym numerem telefonu, prawdopodobnie po dobie odzyskamy dostęp do tego konta, ponieważ my możemy się uwierzytelnić. Dlatego, że tylko my mamy numer telefonu. I tylko my mamy tę kartę SIM. Jeśli oczywiście mamy skonfigurowany numer telefonu do tego konta.

Czy mamy jeszcze jakiś obowiązek?

- Jak najszybciej musimy wysłać informację o tym, że byliśmy ofiarą ataku, a nasze konto na WhatsAppie zostało przejęte. Kierujemy ją do wszystkich pozycji z naszej książki adresowej, która była użyta przez przestępców do skalowania tego ataku. Ważne, by zrobić to innym kanałem, czyli SMS-em, a nie WhatsAppem.

Metody hakerów stale się zmieniają. Jakie teraz są na topie?

- Atakujący widzą, że od jakiegoś czasu jesteśmy bardziej odporni na ataki przez OLX. Wtedy przerzucili się na ataki przez Allegro i LinkedIn. A teraz, jak widać, przerzucili się na komunikatory, w szczególności na WhatsAppa, Messengera na Facebooku. I to cały czas jeszcze działa.

Czy jesteśmy w stanie w ogóle ustrzec się przed takimi tymi oszustwami?

- Korzystając z cyfrowych mediów, musimy wciąż weryfikować pojawiające się tam informacje. A my tego nie lubimy robić, to jest też duży problem. Dlatego, gdy otrzymamy podejrzaną lub nietypową wiadomość czy link, nie bójmy się dzwonić, nie bójmy się rozmawiać z ludźmi. Nie ma w tym nic złego. A choćby ostatnie doświadczenia pokazały, że naprawdę łatwo dać się złapać. Dlatego warto być świadomym, znać bieżące metody ataków, śledzić je.

Czytaj wszystkie najważniejsze informacje z powiatu strzeleckiego. Kup aktualne e-wydanie "Strzelca Opolskiego"!