ZH
维也纳大学的一项新研究证实了每个美国 WhatsApp 用户都希望永远不会发生的事情。犯罪分子现在可以识别哪些电话号码在 WhatsApp 上注册,并将它们与公开的个人资料照片和 "关于 "状态进行匹配。这意味着有 1.37 亿个已确认的美国账户突然被映射、标记并准备被利用。
这些账户中有 44% 显示了公开的个人资料照片,33% 显示了公开的 "关于 "文本,这些数据就成了骗子的金矿。一个有效号码加上一张脸,再加上一丝个人细节,这就是犯罪分子发动复杂的社交工程攻击所需要的一切。
以下是这对当今美国用户的意义。
简而言之:
- 1.37 亿个美国 WhatsApp 号码被确认为活跃号码
- 44% 的号码显示了公开的个人照片,33% 的号码有公开的相关文本
- 这些数据助长了 SIM 卡交换、冒充诈骗和有针对性的网络钓鱼行为
- 它还能进行政治微定位和监视
- 美国用户应确保 WhatsApp 的安全、锁定 SIM 卡权限并隐藏公开的个人资料信息
在美国,SIM 卡互换已经是一个价值数十亿美元的问题。这一新的确认电话号码库为犯罪分子提供了可怕的先机。
骗子打电话给 AT&T、T Mobile 或 Verizon 时,只需要两样东西就能冒充你。一个可用的电话号码和一个令人信服的个人信息。
这次泄露事件提供了这两样东西。
有了一个在 WhatsApp 上被确认为激活的号码,再加上一张个人照片和一段简短的关于姓名或城市等线索的文字,犯罪分子在客服人员面前就显得更加可信了。一旦他们说服运营商将你的号码转到他们的 SIM 卡上,他们就能控制你的电话和短信。这包括基于短信的银行代码、加密账户 2FA 和密码重置。
在几分钟内,攻击者就能盗用账户并将受害者完全锁定。
因为骗子不再需要猜测。他们已经知道你的号码是真的。
通过复制您的个人资料图片和姓名,并用 "嘿,是我,我换号码了 "的消息联系您的朋友,攻击者可以发起令人难以置信的 WhatsApp 仿冒诈骗。
诈骗信息示例
紧急求助、快速汇款或 "我需要你的验证码 "等请求如果来自熟悉的面孔,就会变得更加可信。
情况还会更糟。这次泄漏的美国电话号码可以与2021 年 Facebook 刮擦事件等旧的漏洞进行交叉匹配。骗子可能会把你的 WhatsApp 照片与你的全名、电子邮件或家乡信息结合起来,然后转移渠道,通过短信或电子邮件对你进行高度个性化的网络钓鱼攻击。
不幸的是,会。在美国大选年,已确认的活跃号码成为一个强大的目标定位工具。
政治团体或外国参与者可以创建数百万已验证 WhatsApp 用户的细分数据库。他们可以将定制的错误信息直接推送到私人聊天中,尤其是在摇摆州。WhatsApp 的病毒式转发结构使其在规模上极为有效。
即使是监控活动人士或记者的机构,也可以利用这些确认的号码来识别特定的人是否使用 WhatsApp,甚至是他们使用的操作系统。元数据虽然微小,但却无比强大。
好消息是,您只需做一些更改,就可以关闭大部分漏洞。
在 WhatsApp 上启用 "两步验证
打开 WhatsApp 设置,然后打开 "账户",再打开 "两步验证",创建一个六位数的 PIN 码。这可以防止任何人在其他地方注册您的号码,即使在更换 SIM 卡后也是如此。
锁定你的移动运营商账户
致电您的运营商,添加一个端口退出 PIN 码或高安全密码。这将大大增加未经授权的 SIM 卡交换的难度。
隐藏您的公开个人档案细节
将您的个人照片、"关于 "和 "最后显示 "设置为 "我的联系人 "或 "无名氏"。这样就消除了犯罪分子赖以生存的社交证明。
阅读我们的指南,了解如何恢复您的 WhatsApp 账户。
常见问题
攻击者是如何获得 1.37 亿个美国电话号码的?
研究人员使用枚举技术确认哪些号码在 WhatsApp 上处于活跃状态。他们没有破解加密,但映射了公开可见的元数据。
这是否意味着 WhatsApp 消息会被曝光?
不会。信息仍然是端到端加密的。风险来自确认的电话号码和公开的个人资料数据。
每个美国 WhatsApp 用户都会受到影响吗?
只有那些活跃的号码和公开可见的详细信息才会受到影响。但规模巨大,足以影响到每个人。
这会导致银行账户被盗吗?
是的。通过确认号码和个人资料实现的 SIM 卡交换可以让犯罪分子获得基于短信的银行代码。
我应该停止使用 WhatsApp 吗?
没有必要。但您应立即加强隐私设置并开启双因素保护。
如何防范此类诈骗?
安装 ScamAdviser 应用程序,获取实时警报、诈骗检查和针对趋势威胁的实用保护提示。
