Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) atrage atenţia asupra unui tip de atac, prin care atacatorii încearcă să obţină acces la conturile de WhatsApp ale anumitor utilizatori-ţintă, prin tehnici de inginerie socială. De asemenea, CERT-RO a anunţat că a înregistrat recent multiple notificări şi alerte privind un val de emailuri transmise din partea unor grupări infracţionale. Destinatarii mesajelor de tip SEXTORTION SCAM EMAIL sunt anunţaţi, în mod fals, că dispozitivul pe care îl folosesc a fost infectat cu malware şi că infractorii cibernetici au preluat controlul asupra acestuia. Utilizatorii sunt notificaţi fie că au fost filmaţi cu camera web a dispozitivului utilizat, în ipostaze intime, fie vizitând site-uri cu conţinut pornografic, cu ameninţarea că o înregistrare video urmează a fi trimisă către toate contactele din agenda utilizatorului, pentru a afecta reputaţia potenţialei victime.
”CERT-RO atrage atenţia asupra unui tip de atac, care a început să fie notificat ca incident de către utilizatori din România. Este vorba despre încercări ale atacatorilor de a obţine acces la conturile de WhatsApp ale anumitor utilizatori-ţintă, prin tehnici de inginerie socială”, anunţă CERT-RO. Conturile de WhatsApp sunt legate de numerele de telefon ale utilizatorilor. În momentul autentificării (login) într-un cont de WhatsApp existent, aplicaţia va trimite automat utilizatorului un „one-time code” (parolă unică), prin SMS, pentru a verifica numărul de telefon. Atacatorii abuzează de acest proces, pentru a încerca preluarea controlului acelor conturi de WhatsApp ale utilizatorilor vizaţi. ”În multe cazuri, atacatorii obţin numărul de telefon al unei victime prin intermediul unui cont de WhatsApp deja compromis. Următorul pas constă într-o nouă instalare a aplicaţiei pe telefonul atacatorului, în cadrul căreia este furnizat numărul de telefon al victimei. Aceasta va primi prin SMS un cod de înregistrare, care este solicitat ulterior de atacatorul care joacă rolul unui prieten, ori chiar a WhatsApp Support Team”, arată Centrul. Atacatorii folosesc conturi de WhatsApp deturnate pentru a distribui, către utilizatorii vizaţi, mesaje ce conţin informaţii false cu privire la promoţii pentru platformele de e-commerce, de exemplu oferte speciale. Prin aceste mesaje, victimele sunt păcălite să trimită „codul promoţional” primit pe telefon, fiind de fapt codul de înregistrare la WhatsApp. În situaţia în care un utilizator are telefonul închis (de obicei pe timpul nopţii), atacatorul poate introduce în mod repetat codul greşit de înregistrare la WhatsApp. Astfel, atacatorul va avea opţiunea efectuării verificării vocale, în cadrul căreia WhatsApp va apela telefonul utilizatorului şi va transmite codul citit „cu voce tare” într-un mesaj. Desigur, mesajul audio va fi redirecţionat către mesageria vocală a victimei, care poate fi accesată cu uşurinţă, în situaţia în care victima nu a schimbat parola implicită (default). Pentru evitarea atacurilor descrise, este recomandată implementarea următoarelor măsuri de securitate: ”Dacă aţi fost victima unui astfel de atac, puteţi să intraţi în contul de WhatsApp prin intermediul numărului de telefon. Veţi primi un nou cod de înregistrare, iar atacatorul va fi delogat. Pentru cazul în care atacatorul a activat autentificarea în 2 paşi (2FA), poate fi necesar să aşteptaţi 7 zile pentru a accesa contul, fără verificarea prin doi paşi. Victimele care preferă să şteargă şi să reinstaleze aplicaţia vor pierde istoricul conversaţiilor, în cazurile în care nu au la dispoziţie copii de siguranţă (back-up) anteriorare, care să funcţioneze”, mai informează Centrul. De asemenea CERT-RO a anunţat marţi că a înregistrat recent multiple notificări şi alerte privind un val de emailuri transmise din partea unor grupări infracţionale. Destinatarii mesajelor de tip SEXTORTION SCAM EMAIL sunt anunţaţi, în mod fals, că dispozitivul pe care îl folosesc a fost infectat cu malware şi că infractorii cibernetici au preluat controlul asupra acestuia. ”Nu răspundeţi niciodată la email-uri de acest tip şi informaţi imediat experţii IT sau cyber din organizaţia dumneavoastră”, subliniază CERT-RO. Utilizatorii sunt notificaţi fie că au fost filmaţi cu camera web a dispozitivului utilizat în ipostaze intime, fie vizitând site-uri cu conţinut pornografic, cu ameninţarea că o înregistrare video urmează a fi trimisă către toate contactele din agenda utilizatorului, pentru a afecta reputaţia potenţialei victime. Infractorii cer o sumă de aproximativ 1.300 de dolari, în criptomonedă, într-un termen de 50 de ore. ”Spre deosebire de cazuri anterioare, atacatorii nu oferă o ‘dovadă’ pentru a demonstra controlul asupra dispozitivului compromis sau veridicitatea celor scrise. Prin această metodă se urmăreşte declanşarea unei reacţii de panică a posibilei victime cu scopul de a o determina să plătească suma cerută în cel mai scurt timp. Practic, infractorii cibernetici transmit astfel de mesaje în mod nediscriminatoriu şi automatizat, la un număr foarte mare de adrese de email, aşteptând ca unii dintre destinatari să reacţioneze la email şi să intre în dialog cu gruparea infracţională”, spun reprezentanţii CERT-RO. Se mizează exclusiv pe faptul că unii utilizatori vor dori să îşi protejeze reputaţia şi vor plăti suma cerută, fără a cere o altă opinie din partea unei persoane avizate. Pentru a monetiza pe seama efortului depus, atacatorii nu au nevoie să convingă fiecare utilizator, ci doar un mic procent al acestora. Recomandările CERT-RO: Articolul de mai sus este destinat exclusiv informării dumneavoastră personale. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi un mail pe adresa [email protected].
