近日針對WhatsApp帳戶的網絡攻擊日趨頻繁,香港政府電腦保安事故協調中心(HKCERT)意識到這個問題愈來愈嚴重,所以提醒市民注意一個騙徒慣用手法,以及歸納了3個市民對帳戶保安的常見問題,並提出解答及保安建議。
============
同場加映:
【家居達人】窗戶篇!專家教颱風來襲6大必知 打風漏水緊急處理、點黐膠紙最有用?DIY驗窗法
============
WhatsApp騙徒慣用手法
HKCERT指出,黑客會假扮受害人的親戚朋友,向他們發出訊息,並要求受害人轉發WhatsApp戶口的驗證碼,然後騙徒就會利用該驗證碼登入受害人WhatsApp戶口,繼而騎劫受害人的帳戶,之後透過假冒受害人,向通訊錄的親友發訊息以騙取金錢或個人敏感資料作犯罪用途。
解答3個市民對帳戶保安的常見問題
Q1:帳戶遭盜用後是否能即時奪回主導權?
A1:黑客取得受害人的登入驗證碼後,便可以登入及盜用受害人的WhatsApp帳戶,同時,受害人亦會被強制退出自己的帳戶,WhatsApp會顯示要求輸入手機號碼的畫面。受害人只要再次輸入手機號碼登入,WhatsApp會要求輸入一次性的驗證碼,用戶可選擇透過以手機短訊(SMS)或來電方式,收取及輸入該驗證碼,完成後便可重新奪回帳戶的主導權。
Q2:啟動雙重認證功能是否有效保障帳戶?
A2:是,啟動雙重認證能有效阻止黑客登入及盜用帳戶。啟動雙重認證時,需要設定一個6位數字的PIN碼,設定完成後,即使有騙徒得到用戶的登入驗證碼,並成功登入帳戶,但騙徒還是會被要求輸入用戶預先設定的雙重認證PIN碼,才能使用該WhatsApp帳戶。當然,用戶亦要小心別向任何人透露雙重認證PIN碼。
Q3:假如未有啟動雙重認證,騙徒登入後啟用,是否無法再奪回主導權?
A3:不是。如騙徒盜用了用戶的帳戶後並啟動雙重認證,用戶其實亦可重新奪回主導權。雖然當用戶再次登入帳戶時,WhatsApp會要求用戶輸入騙徒所設定的雙重認證PIN碼,用戶沒有該PIN碼便不能使用 WhatsApp,但是,據WhatsApp的官方指引,WhatsApp會容許用戶7天後重設該PIN碼及重新登入。除了等待7天外,WhatsApp亦允許用戶以預先設定的電郵地址重設PIN密碼。不過無論用戶是否知道該PIN碼,只要用戶輸入SMS登入驗證碼後,對方便會被強制登出,不能再繼續使用用戶的WhatsApp帳戶。
5招防盜用WhatsApp自保法
- 啟動雙重認證功能並設定PIN碼
- 設定電郵地址,以便日後有需要時重設PIN碼
- 切勿告訴其他人登入驗證碼和雙重認證PIN碼
- 定期在WhatsApp設定中檢查已連結裝置,並登出不再使用的裝置連結
- 切勿從非官方渠道下載及使用WhatsApp應用程式
text/ Katty
photo/ Photo AC、電腦保安事故協調中心