SnapHack - כך אפשר לפרוץ לחשבון הסנאפצ׳ט שלכם בקלות!
מאת: מערכת Telecom News, 28.12.21, 19:45

לא תאמינו כמה קל לפרוץ לחשבון הסנאפצ׳ט - איך עובדת ההשתלטות על החשבון ואיך ניתן למנוע זאת?

אחת מ-10 האפליקציות החינמיות הפופולריות ביותר בחנות האפליקציות של אפל היא אפליקציית סנאפצ'ט. האם ידעתם, שאפשר להשתלט על חשבון של משתמש אחר בקלות רבה מדי?

בחברת אבטחת המידע ESET ערכו ניסוי כדי לבחון את הנושא ולהציג את הדרכים האפשריות למנוע השתלטות כזו על החשבון ואיך לחזק את האבטחה.

קהל היעד של אפליקציית סנאפצ׳ט מורכב ברובו מצעירים בני 18-24 (למרות שייתכן שרבים ממשתמשי האפליקציה הם אפילו צעירים יותר). רבים חושבים על דור ה-Z כמומחי טכנולוגיה מכיוון שהם הדור הראשון, שגדל לצד הטכנולוגיה החל משנותיהם המוקדמות.

עם זאת, יש כאלה שיאמרו, שהם מעגלים פינות בכל הנוגע לאבטחה - לא מגדירים אימות דו-שלבי וחולקים סיסמאות עם חברים. לכן, הוחלט בחברה לבדוק את רמת האבטחה של האפליקציה כדי לראות האם הכניסה לחשבון של אדם אחר תוכל להיעשות בקלות.

״הצצה מעבר לכתף״ או ״גניבה מעבר לכתף״, היא טכניקה באמצעותה מישהו מסתכל מעבר לכתף שלכם כדי לגנוב מידע רגיש כמו סיסמאות, קודים אישיים או קודי אישור. השיטה הפשוטה והאפקטיבית הזאת היא עדיין אחת הבעיות הגדולות בחשבונות המדיה החברתית וחשבונות אחרים, אך השאלה היא - האם אפשר להשתמש בה כדי לפרוץ לחשבון הסנאפצ׳ט?
 
אז איך זה עובד?
את הניסוי ערך ג'ייק מור, מומחה אבטחה ב-ESET:
גייק מור: "לי אין חשבון סנאפצ׳ט, אך לחלק מחבריי דווקא כן. הייתי צריך חשבון, שאוכל לבצע עליו כמה ניסויים וכמובן, אני אוהב לבקש את האישור של עמיתיי לפני שאני עושה דברים כאלה. אותה חברה, שנקרא לה ״אלה״, התעניינה מאוד בהשערה שלי, ולכן כששאלתי אותה אם אוכל לנסות ולפרוץ לחשבון הסנאפצ׳ט שלה היא נענתה בשמחה (הכול לשם מודעות הסייבר) וביקשה רק שלא אפרסם כלום מהחשבון שלה אם אכן אצליח להיכנס.

לאחר שהצעתי לה לשלם על ארוחת הצהריים שלה ומכיוון שהיא אשת שיחה מצוינת, הלכנו יחד עם כמה חברים לארוחת צהריים בחוץ. ישבתי לצד אלה, ושנינו התעסקנו בטלפונים על אף שלקחנו חלק בשיחה. לאחרונה התקנתי את סנאפצ׳ט גם בטלפון שלי, אך עוד לא התחברתי או הגדרתי חשבון. פתחתי את האפליקציה בטלפון שלי וראיתי את מסך הכניסה הבא. במסך זה יש את הקישור האהוב על האקרים - ״שכחת את הסיסמה?״

שכחת את הסיסמה?  
בחלק גדול מהמקרים, זה יהיה הכיוון הראשון אליו יפנה אדם המנסה לפרוץ חשבון, כדי לבחון את האבטחה ודרכי כניסה אפשריות. לחצתי על ״שכחת את הסיסמה?״ והאפליקציה ביקשה ממני לבחור כיצד אני רוצה לאפס את הסיסמה שלי. האפשרויות היו ״בטלפון או במייל״. בחרתי לאפס בעזרת הטלפון, ולאחר מכן האפליקציה ביקשה את מספר הטלפון שלי.
 
מה מספר הטלפון שלך?
בזמן שאלה עדיין מתעסקת בטלפון שלה ליד השולחן, המשכתי להקליד את מספר הטלפון שלה וחיכיתי בקוצר רוח לרגע המתאים לגנוב את קוד האישור מעבר לכתף שלה. בזמן שהיא הסתכלה בשיחה אחרת בטלפון שלה, קוד האישור הופיע כהודעה קופצת בחלק העליון של מסך האייפון שלה, והצלחתי לקרוא בזריזות את הקוד בן 6 הספרות ולזכור אותו.

הייתי בטוח, שבשלב הזה היא כבר תעשה אחד ועוד אחד, אך היא פשוט התעלמה מההודעה והמשיכה בשיחה בה הייתה. למעשה, כשאמרתי לה לאחר מכן מה עשיתי, היא אמרה שהיא אפילו לא שמה לב להודעה מסנאפצ׳ט מכיוון שהיא ״מקבלת כל כך הרבה התראות ומאבדת ריכוז״.

כתבתי את קוד האישור בטלפון שלי ומיד לאחר מכן התבקשתי להוסיף סיסמה חדשה: JakeIsAwesome.1 נראה כמו בחירה מצוינת, בעיקר מכיוון שהיא תאלץ לכתוב את זה כדי לשחזר את החשבון שלה לאחר מכן.

בשלב הזה, הפריצה לחשבון הייתה קלה כמו פריצה לחשבון וואטסאפ, אך לסנאפצ׳ט יש שכבת הגנה נוספת, שעליי לעבור כדי להגיע לשליטה מלאה בחשבון שלה.

למרות שאותה שכבת הגנה לא ביקשה סיסמה (אולי כדי לאפשר יצירת חשבון ללא כתובת מייל ושם משתמש), אותה שכבת הגנה הייתה בסך הכל שליחת קוד אישור נוסף לאותו מספר טלפון באמצעות הודעת SMS. לא הייתי מוכן להפתעה הזאת, אך עדיין הצלחתי לראות את ההודעה, שהגיעה למסך ההתראות של אלה בזמן שהיא עדיין הייתה בשיחה הקודמת. באמצעות הקוד הזה, הצלחתי להיכנס ולקבל גישה מלאה, והיא אפילו נחסמה מהטלפון שלה במהלך התהליך.

הבטחתי לה שלא אפרסם דבר ולא אצור קשר עם חבריה, אך הרעיון, שניסיתי להוכיח, אכן הוכח. הצלחתי לפרוץ לחשבון רק כי ידעתי את מספר הטלפון שלה והייתי במרחק הצצה מהטלפון שלה. משתמשי סנאפצ׳ט צריכים לדעת, שהחשבונות שלהם יהיו בסכנה אם אחד מחבריהם ירצה לפרוץ אליו, והם אפילו יוכלו להחזיק בחשבון ככופר.
אם ניקח את זה צעד אחד קדימה, אני מאמין, שניתן לבצע את המתקפה הזאת גם מרחוק, אם מהנדס חברתי מוכשר יתקשר לקורבן וישכנע אותו או אותה למסור את קודי האישור במהלך השיחה. אנו רואים עלייה מתמדת במתקפות מסוג זה, ואנשים צריכים לנקוט במשנה זהירות.

אם האפשרות היחידה לאמת את החשבון הייתה דרך המייל, היה כמעט בלתי-אפשרי להצליח בניסוי הזה. אם זה מה שהיה מוגדר, הייתי צריך לגרום לאלה להיכנס להודעת המייל, שנשלחה אליה וגם לקישור שיהיה בתוך ההודעה, ואני מאמין, שהיא לא הייתה עושה אף אחד מהם. מנגנון שחזור הסיסמה של סנאפצ׳ט - שימוש בקוד, שנשלח דרך שירות הודעות לא-מוצפן המציג את תוכן ההודעות על גבי מסך ההתראות של הטלפון, פותח וקטור התקפה שקל מאוד לנצל אותו.
 
כיצד ניתן לשחזר את חשבון הסנאפצ׳ט?
למרבה הצער, במרבית המקרים לא קל לשחזר חשבון סנאפצ׳ט שנגנב. הכול תלוי בשינויים, שהפורץ ביצע בחשבון. אם הפורץ שינה את הסיסמה בלבד, ניתן לשחזר את החשבון אם עוקבים אחרי הצעדים, שאותם ביצעתי כדי לפרוץ לחשבון.

עם זאת, אם הם שינו את מספר הטלפון, את כתובת המייל והוסיפו אימות דו-שלבי, כמעט ולא יישארו אפשרויות לשחזור החשבון. כמו ביתר שירותי המדיה החברתית, קשה מאוד להגיע לקשר איתן כדי לקבל עזרה ולשחזר את החשבון באמצעותם. אם אתם חושבים, שחשבון הסנאפצ׳ט שלכם נפרץ, יש להם כמה עצות שימושיות להתמודדות.
 
כיצד ניתן לאבטח את חשבון הסנאפצ׳ט שלכם?
חוץ מסיסמה חזקה וייחודית (ומומלץ להגדיר אחת כזאת לכל השירותים המקוונים שמשתמשים בהם), וודאו, שהפעלתם את האימות הדו-שלבי בהגדרות של סנאפצ׳ט (וגם בכל אפליקציה אחרת המאפשרת את זה). בסנאפצ׳ט, גשו להגדרות וחפשו את האפשרות להגדרת אימות דו-שלבי. למרות שגם אימות באמצעות הודעת  SMS הוא טוב, עדיף להשתמש באפליקציית אימות כמו Microsoft Authenticator או Google Authenticator.

הדרך העיקרית למניעת מתקפות ״הצצה מעבר לכתף״ היא להסתיר את המסך שלכם מאנשים זרים בזמן שאתם מזינים פרטים רגישים באפליקציה או באתר אינטרנט, במיוחד במקומות ציבוריים.

מומלץ להסתיר את התצוגה המקדימה להתראות. כך, שאף תוקף לא יוכל לראות אותם כשהטלפון נעול.

ודאו, שאתם מנטרים באופן פעיל את הודעות ה-SMS, שאתם מקבלים בזמן שאתם משתמשים בטלפון או בטאבלט ש ליד אנשים - זה בדיוק מה שהיה מונע את הצלחת המתקפה שלי על אלה".