近日針對WhatsApp帳戶的網絡攻擊日趨頻繁,有黑客透過假冒受害人的親朋好友向他們發出訊息,並要求受害人轉發WhatsApp戶口之驗證碼,騙徒利用該驗證碼可以登入其WhatsApp戶口,從而騎劫受害人的帳戶。香港電腦保安事故協調中心(HKCERT)密切關注近日的網絡攻擊,提醒市民帳戶保安的重點及重奪帳號的方法。
HKCERT指出,騙徒騙取受害人的WhatsApp戶口後,通常會透過假冒受害人,向通訊錄的親友發訊息以騙取金錢或個人敏感資料作犯罪用途。
帳戶遭盜用有方法奪回主導權
黑客一旦取得受害人的登入驗證碼後,便可以登入及盜用受害人的WhatsApp帳戶,與此同時,受害人亦會被強制退出自己的帳戶,WhatsApp會顯示要求輸入手機號碼的畫面。但其實用戶重奪帳戶並不難,如果此時受害人再以自己的註冊手機號碼登入,便可以奪回帳戶的主導權。
HKCERT解釋,其實受害人只要再次輸人手機號碼登入,WhatsApp會要求輸入一次性的驗證碼,此時用戶可等待並選擇透過以手機短訊(SMS)或來電方式,收取及輸入該驗證碼,完成後便可重新奪回帳戶的主導權。
啟動雙重認證可保障帳戶
另外,HKCERT建議用戶要啟動雙重認證,該會指出,當啟動雙重認證後,用戶需要設定一個六位數字的PIN碼。設定完成後,即使有騙徒騙去用戶的登入驗證碼,並成功登入了用戶的帳戶時,騙徒還是會被要求輸入用戶預先設定的雙重認證PIN 碼,才能使用用戶的WhatsApp帳戶。換句話說,設定雙重認證PIN碼後,黑客便無法奪取用戶的WhatsApp使用權。
而且,即使用戶沒有啟動雙重認證,甚至騙徒即時設定了雙重認證,亦非無法重奪帳戶。HKCERT指,當用戶再次登入帳戶時,WhatsApp便會要求用戶輸入騙徒所設定的雙重認證PIN碼,用戶沒有該PIN碼便不能使用 WhatsApp。但是,據WhatsApp的官方指引,WhatsApp會容許用戶七天後重設該PIN碼及重新登入。除了等待七天外,WhatsApp亦允許用戶以預先設定的電郵地址重設PIN密碼。
不過無論用戶是否知道該PIN碼,只要用戶輸入六位數的登入驗證碼後,對方便會被強制登出,不能再繼續使用用戶的WhatsApp帳戶。
防範WhatsApp帳戶遭盜小貼士:
- 啟動雙重認證功能並設定PIN碼
- 設定一個電郵地址,以便日後有需要時重設PIN碼
- 切勿與他人分享登入驗證碼和雙重認證PIN碼
- 定期在WhatsApp設定中檢查已連結裝置,並登出不再使用的裝置連結
- 切勿從非官方渠道下載及使用WhatsApp應用程式