Όταν παγιδεύτηκε το τηλέφωνο του Τζεφ Μπέζος, ιδιοκτήτη της Amazon, τον Ιανουάριο του 2020, χωρίς να το αντιληφθεί, αφού έλαβε εν αγνοία του στο λογαριασμό του Whats App ένα κακόβουλο βίντεο, απεδείχθη πόσο εύκολα μπορεί να παραβιαστεί η ασφάλεια οποιοδήποτε τηλεφώνου με τον κάθε ιδιοκτήτη συσκευής να αποτελεί στόχο κακόβουλης επίθεσης.
Υπάρχουν πολλές συμβουλές που θα μπορούσαν να δοθούν καθώς και εργαλεία και τεχνικές που θα μπορούσαν να χρησιμοποιηθούν για να προστατέψουν τους 2 δισεκατομμύρια χρήστες του Whats App από τους εγκληματίες του κυβερνοχώρου. H αλήθεια,όμως, είναι ότι αν κάποιος κακόβουλος χάκερ βαλθεί να πετύχει το στόχο του, δεν υπάρχουν και πολλά που μπορούμε να κάνουμε εκτός από το να προσπαθήσουμε να προστατευθούμε όσο καλύτερα μπορούμε… ελπίζοντας ότι έτσι οι δράστες θα προτιμήσουν τελικά να χτυπήσουν κάποιον άλλο, λιγότερο προστατευμένο στόχο.
Σύμφωνα,όμως, με τον Τζεικ Μουρ Security Specialist στην ESET UK, στην περίπτωση του Whats App, υπάρχει κάτι περισσότερο που μπορούμε να κάνουμε για να προστατέψουμε το λογαριασμό μας και αφορά στην πρόσβαση που μπορεί να έχει κάποιος τρίτος στη συσκευή του τηλεφώνου μας όσο βρίσκεται στον ίδιο χώρο με εμάς.
Η διαπίστωση του Moore βασίζεται στο εξής: τα μηνύματα στο Whats App είναι μεν ήδη κρυπτογραφημένα, όμως το κλειδί κρυπτογράφησης βρίσκεται και στις δύο συσκευές που χρησιμοποιούνται σε μια συζήτηση. Οπότε,αν κάποιος έχει άμεση πρόσβαση σε μια αφύλακτη συσκευή κινητού τηλεφώνου μπορεί να αποκτήσει πρόσβαση και στο λογαριασμό του Whats App του άλλου.
Ο Moore επαλήθευσε αυτήν του τη θεωρία κάνοντας ένα πείραμα. Μια μέρα, καθώς ήταν στα γραφεία της εταιρίας, εγκατέστησε το Whats App σε μια εξτρά συσκευή τηλεφώνου που διέθετε και όταν είδε μια συνάδελφό του να φεύγει από τη θέση της για να φτιάξει καφέ αφήνοντας αφύλακτη τη συσκευή του τηλεφώνου της στο γραφείο της, ο Moore πληκτρολόγησε αμέσως τον αριθμό του τηλεφώνου της στο νέο του λογαριασμό WhatsApp. Στη συσκευή της συναδέλφου εμφανίστηκε ένα μήνυμα με τον κωδικό επιβεβαίωσης. Ο Moore πέρασε διακριτικά από το γραφείο της, κοίταξε τον κωδικό και στη συνέχεια τον πληκτρολόγησε στο πεδίο επαλήθευσης στο εφεδρικό του τηλέφωνο… Και έτσι απλά απέκτησε τον έλεγχο του λογαριασμού WhatsApp της συναδέλφου του.
Αυτό σημαίνει ότι θα μπορούσε αν ήθελε να δει όλες τις συνομιλίες της στην εφαρμογή όχι όμως και τα μηνύματά της. Τότε, ο Moore εντόπισε ένα chatgroup με την ονομασία "TheHunz", στην οποία έστειλε ένα μήνυμα του τύπου «γεια χαρά! Είχα μια απίστευτα χάλια μέρα… παρακαλώ στείλτε μου memes!» και φυσικά έλαβε μια σειρά από χαριτωμένες απαντήσεις από τους ανυποψίαστους φίλους της συναδέλφου του.
Όταν η συνάδελφός του επέστρεψε στο γραφείο της με το latte της, δε γνώριζε ότι εκείνη την ώρα ο Moore αντάλλασσε μηνύματα στο WhatsApp με τους φίλους της. Πέρασαν λίγα λεπτά πριν κοιτάξει το τηλέφωνό της. «Περίεργο» είπε δυνατά «για κάποιο λόγο έλαβα έναν κωδικό από το WhatsApp». Δίστασε για λίγο και μετά… απλά το διέγραψε.
Ο Moore ενημέρωσε αμέσως τη συνάδελφό του για το πείραμα που έκανε, αποσυνδέθηκε από το λογαριασμό της και στη συνέχεια την καθοδήγησε για το τι μπορεί να κάνει στο μέλλον για να αποφύγει μια τέτοια επίθεση.
Σύμφωνα με τον Security Specialist της ESET, να τι μπορείτε να κάνετε για να αποφύγετε και εσείς μια τέτοια επίθεση:
- Αρχικά θα πρέπει να απενεργοποιήσετε την προεπισκόπηση μηνυμάτων SMS. Αυτό μπορεί να ακούγεται προφανές, αλλά πολλοί άνθρωποι θέλουν να διαβάζουν τα μηνύματα τους γρήγορα. Πολλοί, όταν χρησιμοποιούν ταυτοποίηση δύο βημάτων (γνωστή και ως two-factor authentication) χωρίς τη χρήση μιας ειδικής εφαρμογής ταυτοποίησης (authenticator app), λαμβάνουν τους κωδικούς μέσω SMS. Aν είναι ενεργοποιημένη η προεπισκόπηση των μηνυμάτων SMS, τότε αυτοί οι κωδικοί εμφανίζονται αυτόματα στην οθόνη ακόμα και αν η συσκευή είναι κλειδωμένη. Σε μια τέτοια περίπτωση, αν ο χρήστης έχει αφήσει τη συσκευή του αφύλακτη, τα μηνύματα μπορούν να διαβαστούν από κάποιον κακόβουλο τρίτο που βρίσκεται στον ίδιο χώρο.
- Δεύτερο, δεν πρέπει ποτέ να αφήνετε το κινητό σας τηλέφωνο ή κάποια άλλη συσκευή αφύλακτη. Αρκετοί άνθρωποι κοιμούνται καθώς ταξιδεύουν στο τραίνο ή το αεροπλάνο έχοντας δίπλα τους το τηλέφωνο τους, η ακόμα πηγαίνουν στο μπάνιο αφήνοντας τη συσκευή στη θέση τους. Θα πρέπει να θυμόμαστε ότι υπάρχουν πολλά ύποπτα άτομα σε χώρους εργασίας και ακόμα και αν εμπιστεύεστε τους συναδέλφους σας, υπάρχει πάντοτε ο κίνδυνος κάποιο τρίτο άτομο που θα βρεθεί στον ίδιο χώρο με εσάς να αρπάξει την ευκαιρία για να επιτεθεί. Οπότε είναι καλό να μην αφήνετε ποτέ τη συσκευή σας αφύλακτη.
- Τέλος, υπάρχει ένας ακόμα καλύτερος τρόπος να προστατέψετε τον λογαριασμό σας. Η εφαρμογή Whats App διαθέτει μια απλή διαδικασία για επαλήθευση δύο βημάτων (two-step verification).
- Για να ενεργοποιήσετε τη διαδικασία ταυτοποίησης δύο βημάτων αρκεί να μπείτε στην εφαρμογή και να ακολουθήσετε τη διαδρομή Ρυθμίσεις (Settings) > Λογαριασμός (Account) >Two-Step verification και να επιλέξετε Enable.
- Στη συνέχεια θα σας ζητηθεί να πληκτρολογήσετε έναν κωδικό που θα αποτελείται από έξι νούμερα και τον οποίο θα πρέπει να θυμάστε στο μέλλον.
- Αμέσως μετά θα σας ζητηθεί να δώσετε μια διεύθυνση email για επαναφορά του λογαριασμού σε περίπτωση που ξεχάσετε τον κωδικό σας.
- Τέλος, θα λάβετε μια επιβεβαίωση ότι η διαδικασία ταυτοποίησης δύο βημάτων ενεργοποιήθηκε σε τηλέφωνο σας, οπότε θα είναι πολύ πιο δύσκολο για κάποιον να αποκτήσει πρόσβαση στον λογαριασμό σας ή να μεταφέρει τα μηνύματα σε άλλη συσκευή.
Δε χρειάζεται να χρησιμοποιείτε τον κωδικό σας κάθε φορά που ανοίγετε την εφαρμογή. Αυτή η διαδικασία, όμως, θα σας βοηθήσει να απολαμβάνετε από εδώ και στο εξής την τεχνολογία με ασφάλεια.