黑客盜取戶頭後,可以竊取用戶的私人聊天記錄以及用戶與他人共享的私人數據。另外,黑客也可能鎖定某個圈子,利用圈子內其中一個受信任的用戶,讓群組內的其他用戶做一些事情或分享一些內容。
受訪的網安專家張潤才表示,阻止戶頭被盜取的最簡單方式是不回複任何陌生來電或信息,這個方法可以阻擋70%以上的安全威脅。
他說:“我原本不以爲意,但在同個群組裏的朋友們卻陸續聯系我說,他們在群組收到通知,指我換了手機號碼。”
兩步驗證將要求用戶設置一個六位數密碼,在使用同個電話號碼注冊新戶頭時必須輸入此密碼。有人使用用戶的電話號碼注冊戶頭時,WhatsApp也會發送提醒顧客。倘若失去戶頭權限,用戶可使用自己的電話號碼登錄,並輸入通過短信發送的驗證碼進行驗證,其他使用該戶頭的人將被自動注銷。
發言人說:“雖然類似攻擊無法查看用戶的曆史信息,但我們建議所有用戶使用兩步驗證來保護戶頭。”
WhatsApp發言人說,WhatsApp的信息直接儲存在用戶的電子設備上,並通過端到端加密保護。爲了提高安全性,WhatsApp具有兩步驗證的功能,以保護用戶的戶頭免受欺詐和冒名頂替攻擊(impersonation attacks)。
根據朋友發來的截圖,鄭庭鑽的“新號碼”是個陌生的電話號碼,他當下感覺不對勁,連忙通知所有好友,提心大家小心。
WhatsApp戶頭出問題的鄭庭鑽(72歲,退休人士)告訴《聯合早報》,他在11月6日早上10時許,發現WhatsApp戶頭無故登出,于是叫孩子幫忙重新驗證後再登錄戶頭。
更換電話號碼時,用戶可以選擇是否通知聯系人,但無論如何,群組都會自動接到通知。若發覺其他用戶有可疑行爲,可直接屏蔽對方並向WhatsApp舉報。WhatsApp接獲舉報後,會收到被舉報用戶發送的最後五條信息。
張潤才說,預防這類情況發生的方式是不回複任何陌生來電或信息,同時確保他人無法使用你的手機和WhatsApp並植入惡意代碼。
WhatsApp發言人答複《聯合早報》詢問時表示,WhatsApp的用戶信息具有端到端加密(end-to-end encryption)的保護,同時也建議用戶使用雙重驗證(two-step verification)來保護戶頭。
另外,在重新登錄戶頭後,鄭庭鑽也發現自己已被“踢”出群組,他只好通知群主重新邀請自己加入,並移除陌生號碼。
WhatsApp戶頭突被登出,必須重新驗證,男子順利登錄戶頭後,在同一群組的朋友卻告知收到他更換電話號碼的通知,男子察覺不對勁,懷疑是騙子的新詐騙手法,于是立刻通知所有好友自己並未更換號碼,及時阻止了騙子進一步行騙的可能。
使用兩步驗證功能 可保護賬戶免受攻擊
國際信息系統安全認證聯盟(ISC)董事張潤才答複《聯合早報》詢問時說,黑客有多種盜取WhatsApp戶頭的方式。因WhatsApp可以通過語音通話發送一次性密碼來驗證戶頭,以獲得訪問權限,其中一種方法是利用移動電話運營商的自動服務,將電話轉接到其他電話號碼。
“這基本上可以阻擋70%的安全威脅,也是最簡單和直接的方式。”
受訪的網安專家張潤才表示,阻止戶頭被盜取的最簡單方式是不回複任何陌生來電或信息,這個方法可以阻擋70%以上的安全威脅。
鄭庭鑽猜測,不法分子是想利用他的戶頭行騙,幸好他發現得早,沒有造成損失。鄭庭鑽說,他在前一晚還能正常使用戶頭,近期也沒下載任何應用或浏覽不明網站,不清楚他人如何盜取戶頭。
他說,另一種方法是使用圖象文件進行緩沖區溢出(buffer overflow)攻擊,這類攻擊會導致手機容量溢出,並強制執行惡意代碼。另外,黑客也可通過社交工程(social engineering)手段,利用人類的心理竊取信息或傳播錯誤信息。