Как сообщает Forbes, злоумышленники придумали новый способ ухудшить жизнь пользователям мессенджера WhatsApp. Для этого достаточно всего лишь знать ваш номер телефона, и даже двухфакторная аутентификация не помешает.
Работает это так. Злоумышленник устанавливает на свой смартфон WhatsApp и вводит ваш номер. Для авторизации его мессенджер запрашивает код, который приходит на ваш телефон, но вы его игнорируете, потому что не запрашивали и думаете, что это ошибка. Проблема в том, что получение кода и не было целью.
Злоумышленник раз за разом вводит рандомные коды, даже не пытаясь угадать правильный. Через несколько неудачных попыток система блокирует отправку новых кодов на 12 часов. Таким образом, у вас мессенджер работает нормально, но отправка кодов авторизации приостановлена. Теоретически это не будет проблемой, если вам не потребуется за это время заново пройти верификацию.
Но дальше всё тот же злоумышленник создаёт новую электронную почту и пишет в техподдержку, что его телефон с номером [ваш номер] был украден, и просит деактивировать связанную учётную запись. Техподдержка никак не проверяет, принадлежит ли ему номер, и деактивирует аккаунт.
И только на этом этапе у пользователя начинаются проблемы: появляется сообщение, что телефонный номер не зарегистрирован в WhatsApp. Вы можете отправить проверочный код, чтобы попытаться войти в свою учётную запись. Но система предупреждает, что вы совершили слишком много неудачных попыток ввода и должны подождать 12 часов. Ввод кодов, которые приходили вам ранее, не работает.
Если вы просто стали жертвой неудачной шутки, через 12 часов вы сможете вернуть доступ. Но злоумышленник может не отправлять заявку в техподдержку, а вместо этого повторять процесс запроса кодов по истечении таймера. На третий раз (то есть через 24 часа после первой атаки) система ломается: таймер отображает не 12 часов, а -1 секунду, причём на обоих смартфонах. Исправить это невозможно.
Если после этого отправить запрос в техподдержку, аккаунт деактивируется без возможности восстановления, потому что таймер сломан. Это худшее развитие событий из возможных.
Как такое возможно?
Причина проста: по сути, мессенджер завязан только на номере телефона и не сравнивает операционную систему и идентификационный номер устройства. Кроме того, сами пользователи не имеют никакой защиты от посторонних: если вы введёте чей‑то номер в мессенджере и к этому номеру привязан аккаунт, он отобразится. Ограничить видимость своей учётной записи нельзя.
Таким образом, узнать, кто зарегистрирован в WhatsApp, не составляет труда. В то же время телефонные номера пользователей регулярно всплывают в утечках вроде недавнего массивного слива базы данных Facebook*.
Устранить обе проблемы несложно: достаточно дать пользователям возможность скрывать свой аккаунт из поиска и добавить способ идентификации при входе с нового устройства: например, подтвердить его через уже авторизованный в системе гаджет.
Что делать, если аккаунт пытаются заблокировать?
Представители WhatsApp сообщили, что жертвам подобных атак стоит связаться с техподдержкой: подобные действия противоречат правилам использования платформы. Сделать это стоит, как только заметите SMS с кодами доступа WhatsApp, которые вы не запрашивали.
Также они посоветовали привязать к аккаунту email, чтобы восстановить доступ было проще. Об усилении безопасности, чтобы посторонний человек не мог заблокировать вам мессенджер, заявлений не было.
*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.