На этой неделе злонамеренные взломы WhatsApp опять попали в новости. Все больше пользователей обманом заставляют передавать свои аккаунты злоумышленникам, которые потом атакуют их контакты вирусным ПО и финансовым мошенничеством. WhatsApp не настолько безопасен, насколько вы можете считать, но он действительно предлагает вам способы защитить свой аккаунт от такого рода захватов. Вам нужно изменить настройки, и сделать это необходимо уже сегодня.
Эти взломы основываются на социальной инженерии. Злоумышленник, завладевший аккаунтом вашего друга, обманом заставляет вас сообщить код, присланный на ваш телефон SMS-сообщением. Это позволяет злоумышленнику завладеть и вашим аккаунтом тоже. На возвращение аккаунта может потребоваться много времени и сил. Злоумышленники знают, как затруднить возвращение, и добавляют дополнительные настройки безопасности, чтобы обмануть вас и замедлить процесс.
Вы можете защититься от такого вида взлома. Также есть возможность защититься от других недостатков безопасности вашего WhatsApp-аккаунта. Джоэл Валленсторм (Joel Wallenstrom), главный исполнительный директор Wickr, сказал мне: "WhatsApp предназначен для потребительского использования. Как и в другой потребительской продукции безопасность уступает место развлечению… Если вы потребитель, который серьезно относится к безопасности, попытайтесь избегать продукции компаний, монетизирующих данные конечного пользователя".
Проблема в том, что WhatsApp лидирует по охвату пользователей и простоте использования. Многие из нас используют его как основное приложение, заменяющее отправку SMS. Несмотря на недостатки WhatsApp, Валленсторм описывает его как "серьезный шаг вперед по сравнению с SMS; более высокая степень защиты миллиардов пользователей в WhatsApp — польза для всего мира". Однако вы можете сделать это приложение намного безопасней и надежней, чем оно есть по умолчанию. Вот три настройки, которые вы обязаны изменить, и одно, которое вы можете изменить, если стремитесь к особому уровню надежности.
Начнем со взлома и захвата SMS-аккаунта. В WhatsApp есть "двухшаговая проверка", позволяющая ввести в приложении шестизначный код. Это не тот код, который присылает вам WhatsApp, когда вы устанавливаете приложение на новый телефон и регистрируетесь в нем. Даже если злоумышленник завладеет этим SMS-сообщением, чтобы зайти в ваш аккаунт на своем телефоне, у него не получится завершить процесс, ведь он не будет знать ваш шестизначный идентификационный код.
Все пользователи WhatsApp должны использовать эту настройку безопасности. У меня не хватает слов, чтобы описать ее важность. Я просто завален электронными письмами пользователей, наткнувшихся на мои статьи о взломах WhatsApp уже после того, как они пострадали от действий злоумышленников. WhatsApp следует сделать этот пункт обязательным, как стала обязательной двухфакторная идентификация во многих финансовых приложениях. Зайдите в настройки WhatsApp, затем "учетная запись", там вы увидите "двухшаговую проверку". Вы сможете установить ваш пароль и адрес электронной почты, на случай если забудете пароль. Естественно, этот пароль нельзя никому сообщать.
Читайте также
Далее идет рискованное обращение с фото и видео. Именно этот недостаток имел ввиду Валленсторм, когда говорил, что у WhatsApp развлечение опережает безопасность. Когда вам присылают фото или видео в чат, они по умолчанию сохраняются на ваш телефон. Это может быть удобно, но при этом опасно. Вам следует сохранять только те фото и видео, за отправителей которых вы ручаетесь. Вы должны быть уверены, что эти фото и видео сняты человеком, которого вы знаете, а не найдены в интернете или социальной сети, а потом пересланы в WhatsApp.
Просматривать файлы мультимедиа в WhatsApp почти наверняка безопасно, но сохраняя файлы на телефон, вы рискуете, - в файле может оказаться код, который запустит на вашем устройстве вредоносное ПО или приведет к сбою в вашем устройстве или приложениях. Джейк Мур из "ESET" предупреждает: "автоматическое сохранение фото в WhatsApp - это как открытая входная дверь; риск не обязателен и может потенциально навредить вашему телефону". Экрам Ахмед (Ekram Ahmed) из "Check Point" сравнивает автосохранение медиафайлов с троянским конем, с его помощью злоумышленники могут пробраться в ваш телефон. Его фирма недавно показала, как такой медиафайл может взломать ваш аккаунт в Инстаграм. В WhatsApp зайдите в настройки, затем "чаты" и отключите "автоматически сохранять полученные фото и видео в фотопленку" на iPhone или "видимость медиа" на Андроид.
Третий пункт настроек менее серьезен, он больше связан с защитой вашей конфиденциальности и помогает избежать распространения данных, которые злоумышленник может использовать для атак через социальную инженерию. Зайдите в настройки, затем "учетная запись" и "конфиденциальность". Тут вы можете установить, кто может видеть ваш аккаунт, фото и информацию о том, когда вы в последний раз были в сети. Самая важная настройка - ограничение списка пользователей, которые могут добавить вас в группу. В каждом из случаев, вы можете выбрать из вариантов "все" и "мои контакты" или быть более избирательным. Ни в одной из представленных сфер, нельзя выбирать "все", по крайней мере ограничьте список своими контактами.
Самая важная настройка - добавление в группы. Если вы не поставите ограничение, то злоумышленник сможет добавить вас в группу без вашего ведома и присылать вам сообщения и файлы. Я уже писал об опасности такого "вредоносного" кибероружия. Другие настройки ограничивают метаданные, которые можно получить через WhatsApp. Нет необходимости распространять данные вашего профиля, ваше фото, а также информацию о том, когда вы в сети, - все это может оказаться очень значимой сводкой.
Последний недостаток в безопасности WhatsApp наиболее противоречивый и касается в основном пользователей iPhone, а не Андроид. Сейчас пользователи iPhone могут сохранить резервную копию WhatsApp на облачные платформы Apple или Google, в то время как пользователям Андроид предлагается локальная альтернатива. Эти резервные копии сохраняют историю вашей переписки, на случай если вы потеряете телефон, а также позволяют перенести ее на новое устройство.
При таком резервном копировании переписки вы теряете сквозное шифрование. К вашим данным могут получить доступ Apple или Google, если того потребуют правоохранительные органы, например. На Андроиде можно использовать локальное резервное копирование, а потом перенести файлы на внешний накопитель, так вы сохраните контроль над данными. Пользователи iPhone могут создавать локальные копии в iTunes, хотя это и не поможет изолировать данные WhatsApp. Но придется сделать все вручную. Если вы хотите отключить сохранение в iCloud, вы все равно сможете перенести историю переписки на новый iPhone, отличная функция прямой передачи Apple вам поможет.
Если это беспокоит вас также, как остальных сознательных пользователей iPhone, вы можете отключить резервное сохранение на облачную платформу. Зайдите в настройки, затем "чаты" и "резервная копия". Мало кто из пользователей заходит так далеко, ведь этот шаг помогает избежать более редкой угрозы, чем предыдущие три функции. Но облачное резервное копирование аннулирует заблокированные преимущества сквозного шифрования, поэтому об этом варианте также следует помнить.
WhatsApp не настолько безопасен, как Signal и Wickr, а когда дело доходит до использования на нескольких устройствах и шифрования резервных копий, он уступает iMessage от Apple. При это он соответствует большинству требований к обмену сообщениями, а его уровень безопасности прекрасно подходит для ежедневного использования. WhatsApp очень популярен, поэтому он будет установлен почти у всех ваших знакомых. Это делает его лучшей альтернативой катастрофически небезопасным SMS-сообщениям. Если вы поменяете настройки в соответствии с приведенным выше описанием, ваш аккаунт в WhatsApp станет намного, намного безопаснее.
Зак Доффман (Zak Doffman), Forbes (США)