Hrvatski Nacionalni CERT objavio je upozorenje o novoj zlonamjernoj kampanji koja se širi putem Facebook grupa i stranica, a čiji je cilj neovlašteno preuzimanje WhatsApp korisničkih računa. Riječ je o prijevari koja se oslanja na socijalni inženjering i zloupotrebu legitimnih funkcionalnosti same aplikacije.
Prema objavi CERT-a, korisnici putem Facebooka zaprimaju poruke ili nailaze na objave s pozivom na glasanje u navodnom dječjem natjecanju. U porukama se često koristi emotivan sadržaj, poput tvrdnje da se radi o djetetu prijatelja i da je nagrada stipendija ili druga vrijedna pogodnost. Takve poruke sadrže poveznicu koja vodi na lažnu web stranicu naziva „Natjecanja Croatia“.
Na toj stranici korisnicima se nudi mogućnost „glasanja“, ali se prije toga traži autorizacija ili registracija. Upravo u tom koraku dolazi do kompromitacije računa. Tijekom lažne registracije traži se odabir države, unos broja mobitela te unos SMS koda koji stiže na uređaj. Taj SMS kod zapravo je legitimni WhatsApp autorizacijski kod, koji napadači koriste za prijavu računa na vlastiti uređaj.
CERT pojašnjava da se u ovom slučaju zloupotrebljava WhatsApp funkcionalnost „Povezani uređaji“ (Linked Devices). Nakon što napadač poveže svoj uređaj s računom žrtve, dobiva pristup porukama te mogućnost slanja poruka u ime kompromitiranog korisnika.
Nakon preuzimanja računa, napadači WhatsApp koriste za daljnje širenje prijevare. Poruke se šalju kontaktima žrtve, često s istom poveznicom za lažno glasanje ili s izravnim zahtjevima za uplatu novca. Time se dodatno povećava doseg prijevare, ali i njezina vjerodostojnost, budući da poruke dolaze s poznatog broja.
Nacionalni CERT preporučuje građanima da ne klikaju na poveznice za glasanja, nagradne igre i natjecanja koje dolaze putem društvenih mreža ili poruka, kao i da ne unose broj mobitela ili SMS kodove na sumnjivim web stranicama. Također se savjetuje redovita provjera WhatsApp postavki u dijelu „Povezani uređaji“ te uklanjanje svih nepoznatih uređaja, kao i uključivanje dvofaktorske autentifikacije putem PIN-a.
U slučajevima sumnje na kompromitaciju računa, CERT navodi da je potrebno odmah se odjaviti sa svih povezanih uređaja, ponovno verificirati WhatsApp račun unutar aplikacije, obavijestiti kontakte o prijevari te incident prijaviti Nacionalnom CERT-u.
Iz CERT-a ističu da ovakve kampanje koriste kombinaciju tehničkih i psiholoških metoda kako bi navele korisnike na neoprezne radnje, zbog čega je važno ostati oprezan i provjeravati svaku neuobičajenu poruku ili poveznicu, čak i kada dolazi od poznatih osoba.
