Чужой аккаунт Whatsapp — лакомый кусок. Злоумышленники не стоят на месте и придумывают все новые и новые способы угона/захвата чужих аккаунтов. Разберем недавнюю массовую атаку на индийских пользователей сервиса, ибо это также применимо и в любой другой стране.
Итак, по сценарию из ссылки.
Атакующий уговаривает жертву позвонить на
**67*<10ти-значный-номер>
либо
*405*<10-значный-номер>
, где <10ти-значный-номер> - номер, под контролем атакующего.
Атакующий запрашивает whatsapp-регистрацию звонком, и ловит переадресованный голосовой код на свой <10ти-значный-номер>, входит в аккаунт, после чего нас из этого аккаунта банально выбрасывает.
Довольно несложная схемка, но есть пару неточностей:
**<какие-то цифры>*<10ти-значный-номер>#
Ну, во-первых, никогда не стоит звонить куда-либо по чьей-либо просьбе. Это в 99% случаев развод, а в оставшемся 1% случаев проблему наверняка можно решить другим способом. Атаки с применением социальной инженерии всегда расчитаны на поспешность: «быстрее/срочно/вопрос жизни и смерти». Достаточно дать самому(-ой) себе всего лишь пару минут на размышления, и скорее всего, в конечном итоге, мы просто посмеемся над несуразностью подобной просьбы/требования.
Во-вторых, имеет смысл включить 2-х факторную аутентификацию везде, где ее можно включить (а не только в whatsapp’е). Это может звучать как агитация (по аналогии со сложными паролями), но на практике это действительно очень эффективный способ защиты своих аккаунтов.