חוקר ישראלי מחברת האבטחה קספרסקי זיהה פעילות חשודה בקבוצת ווטסאפ בית ספרית בה הוא חבר, וכך נחשף גל תקיפות שפגע בישראלים רבים בימים האחרונים. עידו נאור, בכיר בחברה, שם לב להודעה חריגה שנשלחה באחד הערבים האחרונים באחת מהקבוצות - מספר הטלפון הנייד של אחת החברות בה השתנה לקידומת הטלפון של סוריה +963. מיד לאחר מכן שמה של הקבוצה שונה ל-ONLY VIRUS. זה היה השם שההאקר נתן לקבוצה, והשם המקורי נעלם.
"הודעות בערבית התחילו לזרום בקצב ורמת החשש בקרב ההורים טיפסה", סיפר נאור שמיד החל לבדוק את העניין. "גיליתי שבמסגרת ניסיון להשתלט על מספרי טלפון לצורך איסוף מידע, הצליח ההאקר להשתלט על חשבון הווטסאפ של ט', אחת החברות בקבוצה, ולשלוח הודעות בשמה לאנשי קשר ולקבוצות בהן היא חברה", ציין, "התוקף למעשה הוריד את האפליקציה לטלפון פיקטיבי וכתב שהמספר המסוים הוא שלו. לאחר מכן, הקורבן מקבל הודעת SMS שהיא חלק מתהליך האימות הדו שלבי, אשר נועד למנוע מצבי חטיפה של חשבונות. במקביל, התוקף פונה לקורבן ומשדל אותו לשלוח לו את ששת הספרות המופיעות בהודעה או ללחוץ על הלינק בהודעה".
לדבריו, למרות שבהודעת ה-SMS כתובה חד משמעית האזהרה "לא לשתף את הקוד עם אף אחד", בפועל, לא מעט משתמשים נופלים קורבן ומשתפים את הקוד עם התוקף.
"לאחר קבלת הקוד, מזין ההאקר את ששת הספרות בטלפון הפיקטיבי שלו ומקבל שליטה מלאה על חשבון הווטסאפ של הקורבן ואז למעשה ההשתלטות הושלמה", הסביר, "מדובר בשיטה שנקראת Social Engineering, שמטרתה להתל בקורבן כדי לשכנעו לציית לבקשות התוקף על מנת שיבצע פעולה שאינו מודע להשלכותיה". נאור ציין כי חווה בעצמו את דרך הפעולה של התוקף. "אחרי שהשתלט על חשבון הווטסאפ של ט', המשיך התוקף לפנות לכל חברי הקבוצה. במצב כזה, כאשר נפל קורבן אחד בקבוצה, החוכמה היא לעצור את השטף", הסביר, "מאחר ובמקרים רבים התוקף אינו משנה את שם החשבון, הפניה מהתוקף תיראה כפניה תמימה של חבר או אחד מאנשי הקשר, מה שיגדיל את הסבירות להיענות לבקשתו".
הוא הדגיש כי הבעיה לא מסתיימת כאן. מבדיקה שעשה נאור, מסתבר שאין כרגע דרך לקבל חזרה שליטה על חשבון שנחטף. מה שאומר שלתוקף תישאר הגישה לכל פרטי החשבון, ההודעות ואנשי הקשר, והוא יכול ליצור קשר באין מפריע עם אנשי הקשר, תחת זהותו של הקורבן.
הוא הדגיש כי הבעיה לא מסתיימת כאן. מבדיקה שעשה נאור, מסתבר שאין כרגע דרך לקבל חזרה שליטה על חשבון שנחטף. מה שאומר שלתוקף תישאר הגישה לכל פרטי החשבון, ההודעות ואנשי הקשר, והוא יכול ליצור קשר באין מפריע עם אנשי הקשר, תחת זהותו של הקורבן.
מהבדיקה עוד עולה כי במקרה של חטיפת חשבונות אין אפשרות לאחזר אותם. בעל החשבון המקורי יכול אומנם לפתוח חשבון חדש, ללא כל הקבוצות שהיה חבר בהן, אך פרטי החשבון, על כל המשתמע מכך, נשארים ברשות החוטף.
דוגמאות נוספות לחטיפות חשבונות אותרו בשבוע האחרון בישראל ובאירופה, ופורומים מקומיים מתמלאים בימים האחרונים בבקשות עזרה. פניות לחברה לא נענו.