【提防騙案】5億WhatsApp帳戶電話號碼流出 300萬港人受牽連
約 4.87 億 WhatsApp 帳戶的登記號碼,上星期六被黑客放上暗網發售,數據中更列明包含約 300 萬香港用家電話號碼,用家除了要留意是否 WhatsApp 被入侵之外,更重要是提高警覺,同時加強帳戶安全功能!
網絡安全網站 Cybernews 上星期六發現,有黑客公然於暗網出售 WhatsApp 帳戶資料,數量更多達 4.87 億,雖然有關資料只得登記的電話號碼,但安全專家強調不容忽視,因為過往曾多次發生黑客僅使用電話號碼,便能奪取 WhatsApp 帳戶的成功個案,主要方法有二。
第一種方法是透過 SIM swapping 技術,黑客可透過社交工程手法,向電訊商客戶服務員訛稱遺失 SIM 卡,要求對方將來電及短訊全部傳發至另一號碼上,以此方法截取 WhatsApp 用家的 2FA 確認碼,不過這種情況在香港較少發生。
另一種方法是黑客會直接經 WhatsApp 聯絡攻擊目標,同樣以社交工程方法,讓對方相信自己是 WhatsApp 員工,然後訛稱因發生數據外洩事故,因此需與對方確認安全短訊,騙取對方交出 2FA 驗證碼。
由此可見,單憑登記的電話號碼已存在帳戶被奪風險,最重要是黑客手頭上的號碼已被確認為真實用家,因此可省卻黑客亂撞亂試的麻煩。Cybernews 記者於是向黑客求證資料真偽,對方亦大方給出約 2,000 個樣本,經確認後,證明的確為英國用家所擁有,可信性大大提高。
記者雖然嘗試打探數據來源,不過對方未有回覆,只表示任何人有興趣都可以按國家分類單獨購買,以美國的 3,000 多萬用家為例,黑客就開價 7,000 美元。
WhatsApp 方面亦即時回應,指未有證據顯示數據庫曾被入侵,亦未發生任何數據外洩事件,發言人估計對方只是濫用資料抓取(data scrapping)技術,從不明途徑搜集及記錄 WhatsApp 用家的資料再出售。
所謂資料抓取技術,簡單來說是黑客透過編寫程式,於社交平台或其他網站搜尋相關資料,例如 LinkedIn,由於用家一般都傾向願意公開自己的職場履歷,因此非常容易被黑客抓取用家資料,2021 年初曾有 5 億 LinkedIn 用家資料被放暗網出售,當中便包括用家的全名、電郵地址、電話及工作地點資訊等。
安全專家估計純粹為 data scrapping 而不涉外洩,但亦由於抓取容易,因此價值不高,5 億數據只以四位數字美元出售。
今次事件中由於有 300 萬香港用家受牽連,因此用家必須即時加強帳戶安全功能,例如啟用 2FA 驗證功能,同時要小心防範陌生或來自朋友的訊息,切勿輕易交出 2FA 驗證碼。
資料來源:https://cybersecuritynews.com/whatsapp-users/
相關文章:【補完陷阱】特製版WhatsApp暗藏木馬 騎劫用家帳戶詐騙親友