RU
Новое исследование Венского университета подтвердило то, что, как надеялись все американские пользователи WhatsApp, никогда не произойдет. Преступники теперь могут определить, какие телефонные номера активно зарегистрированы в WhatsApp, и сопоставить их с публичными фотографиями профиля и статусами "Около". Это 137 миллионов подтвержденных американских учетных записей, которые внезапно были нанесены на карту, помечены и готовы к эксплуатации.
А когда 44 процента этих аккаунтов имеют публичную фотографию профиля и 33 процента - публичный текст "О себе", эти данные становятся золотой жилой для мошенников. Правильный номер, лицо, намек на личные данные - все, что нужно преступнику для проведения сложных атак с использованием социальной инженерии.
Вот что это значит для американских пользователей сегодня.
В двух словах:
- 137 миллионов американских номеров WhatsApp были подтверждены как активные.
- У 44 процентов были открытые фотографии профиля, а у 33 процентов - открытые тексты.
- Эти данные способствуют подмене SIM-карт, мошенничеству с выдачей себя за другого человека и целенаправленному фишингу.
- Они также позволяют осуществлять политический микротаргетинг и слежку.
- Американским пользователям следует защитить WhatsApp, заблокировать права доступа к SIM-картам и скрыть информацию о публичных профилях.
Подмена SIM-карт уже является миллиардной проблемой в США. Новая порция подтвержденных телефонных номеров дает преступникам пугающую фору.
Чтобы выдать себя за человека, звонящего в AT&T, T Mobile или Verizon, мошенникам нужны всего две вещи. Рабочий номер телефона и убедительные личные данные.
Утечка предоставляет и то, и другое.
Если номер подтвержден как активный в WhatsApp, а также фотография профиля и короткое сообщение о нем, раскрывающее такие детали, как имя и город, преступники вызывают больше доверия у сотрудников службы поддержки. Убедив оператора связи перенести ваш номер на свою SIM-карту, они контролируют ваши звонки и тексты. Это включает в себя SMS-коды для банковских операций, криптовалютные счета 2FA и сброс пароля.
За считанные минуты злоумышленники могут опустошить счета и полностью заблокировать доступ к ним.
Потому что мошенникам больше не нужно гадать. Они уже знают, что ваш номер настоящий.
Скопировав фотографию и имя вашего профиля и обратившись к вашим друзьям с сообщением "Привет, это я, я сменил номер", злоумышленники могут запустить невероятно убедительные аферы с выдачей себя за другого пользователя WhatsApp.
Пример мошеннического сообщения
Просьбы о срочной помощи, быстром переводе денег или "Мне нужен ваш проверочный код" становятся гораздо более правдоподобными, если они исходят от знакомого лица.
И это становится еще хуже. Американские телефонные номера в этой утечке могут быть сопоставлены со старыми утечками, например, с инцидентом 2021 года с вымарыванием данных из Facebook. Мошенник может объединить вашу фотографию в WhatsApp с вашим полным именем, электронной почтой или родным городом, а затем сменить канал и атаковать вас через SMS или электронную почту с высоко персонализированной попыткой фишинга.
К сожалению, да. В год выборов в США подтвержденные активные номера становятся мощным инструментом таргетинга.
Политические группы или иностранные акторы могут создавать сегментированные базы данных миллионов подтвержденных пользователей WhatsApp. Они могут распространять специально подобранную дезинформацию прямо в личных чатах, особенно в "колеблющихся" штатах. Вирусная структура пересылки в WhatsApp делает это чрезвычайно эффективным в масштабах.
Даже агентства, следящие за активистами или журналистами, могут использовать эти подтвержденные номера, чтобы определить, пользуется ли конкретный человек WhatsApp и даже какую операционную систему он использует. Метаданные - крошечные, но невероятно мощные.
Хорошая новость заключается в том, что большинство этих уязвимостей можно устранить с помощью нескольких изменений.
Включите двухэтапную верификацию в WhatsApp
Откройте настройки WhatsApp, затем Аккаунт, затем Двухэтапная верификация и создайте шестизначный PIN-код. Это не позволит никому зарегистрировать ваш номер в другом месте даже после смены SIM-карты.
Заблокируйте учетную запись мобильного оператора
Позвоните своему оператору и добавьте PIN-код Port Out или пароль высокой степени защиты. Это значительно затруднит несанкционированную замену SIM-карт.
Скрыть информацию о своем публичном профиле
Установите для параметров "Фотография профиля", "О себе" и "Последний раз видели" значение "Мои контакты" или "Никто". Так вы лишите себя социального доказательства, на которое рассчитывают преступники.
Читайте наше руководство о том, как восстановить аккаунт WhatsApp.
Вопросы и ответы
Как злоумышленники получили 137 миллионов телефонных номеров США
Исследователи использовали методы перечисления, чтобы узнать, какие номера были активны в WhatsApp. Они не взламывали шифрование, но отображали общедоступные метаданные.
Означает ли это, что сообщения WhatsApp стали открытыми?
Нет. Сообщения остаются зашифрованными из конца в конец. Риск исходит от подтвержденных телефонных номеров и общедоступных данных профиля.
Затронуты ли все американские пользователи WhatsApp?
Только те номера, которые были активны и имели общедоступные данные. Но масштаб достаточно велик, чтобы затронуть всех.
Может ли это привести к краже банковских счетов?
Да. Замена SIM-карт, осуществляемая с помощью подтвержденных номеров и личных данных, может дать преступникам доступ к банковским кодам, вводимым по SMS.
Следует ли мне прекратить пользоваться WhatsApp?
Нет необходимости. Но вам следует усилить настройки конфиденциальности и немедленно включить двухфакторную защиту.
Как уберечься от подобных афер?
Установите приложение ScamAdviser, чтобы получать оповещения в режиме реального времени, проверять мошенников и давать практические советы по защите от актуальных угроз.
