WhatsApp går efter kinesiske adgangskodesvindlere via amerikansk domstol

Hvis du ikke kan slå dem, sagsøge dem!

Faktisk går det originale citat ikke helt sådan, men du får ideen: hvis du ikke kan stoppe folk med at downloade falske, malware-plettede apps, der foregiver at være bakket op af dit stærke, globale brand...

…hvorfor ikke bruge dit kraftfulde, globale brand til at sagsøge skaberne af disse useriøse malware-spredningsapps i stedet?

Dette er ikke en ny teknik (retslige skridt fra IT-branchens giganter har før været med til at fjerne ondsindede websteder og malwaredistributionstjenester), og det vil ikke stoppe den næste bølge af gerningsmænd i at tage fat, hvor det sidste lod slap.

Men alt, hvad der gør det sværere for malware-sælgere at operere i almindeligt syn, er et forsøg værd.

WhatApp i offensiven

WhatsApp er sammen med sit moderselskab Meta startet sagsanlæg mod tre virksomheder, som den hævder "vildledte over en million WhatsApp-brugere til selv at kompromittere deres konti som en del af et kontoovertagelsesangreb."

Løst sagt, selvkompromis henviser i denne sammenhæng til app-baseret phishing: opret en falsk login-dialog, der opbevarer en uautoriseret kopi af alt, hvad du indtaster, inklusive personlige data såsom adgangskoder.

Som du sikkert kan forestille dig, og som WhatsApp hævder i sin retssag, var den primære værdi af disse kompromitterede konti til de påståede krænkere, at de kunne bruges til at "sende kommercielle spam-beskeder".

I modsætning til e-mail-økosystemet, hvor enhver kan sende e-mail til hvem som helst (eller, i tilfælde af afsendere af massemeddelelser, hvor nogen kan sende e-mail til alle), er besked- og sociale medier-apps såsom WhatsApp baseret på lukkede grupper.

Denne form for onlineverden er ikke nær så let for spammere og svindlere at infiltrere.

Faktisk kender vi masser af mennesker, der næsten ikke bruger e-mail mere, og foretrækker at kommunikere med venner og familie via netop denne slags lukkede grupper, hovedsagelig fordi det omgår den strøm af påtrængende og uønsket affald, de møder via e-mail.

Naturligvis er bagsiden af ​​et økosystem for lukkede meddelelser, at du er mere tilbøjelig til at tro, eller i det mindste tage et kig på, ting, du modtager fra folk, du kender.

Det er usandsynligt, at du åbner dokumenter eller klikker på links, der tydeligt kom fra en e-mail-afsender, du aldrig har mødt før, ikke ønsker at møde og aldrig vil...

… men selvom du ved, at din kusine Chazza er tilbøjelig til at dele stønnende memes og øjenbrynsløftende videoer, tager du sikkert stadig et kig på dem, fordi du allerede ved, hvad du kan forvente, og hej, det er din fætter, ikke nogle helt tilfældig online afsender.

Med andre ord, hvis svindlere kan komme ind på dine sociale medier-konti, får de ikke kun adgang til din liste over folk-jeg-er-glad-at-chatte-til-at, men får også muligheden for at spamme listen over personer-som -er-glade-for-at-høre-fra-dig med beskeder, der tilsyneladende blev sendt med din velsignelse.

I Desværre er det ikke nok kun at stole på afsenderen, for du skal også stole på afsenderens enhed og deres konto.

Social netværksspamming og svindel baseret på kompromitterede konti er lidt ligesom Forretnings-e-mail-kompromis (BEC), hvor skurke gør sig besværet med at få adgang til en officiel e-mail-konto i en virksomhed.

Det betyder, at de er i stand til at narre medarbejderne i den virksomhed meget mere overbevisende, end de kunne som eksterne afsendere:

Navngivet og skammet

WhatsApp navngav tre virksomheder i retssagen, der opererer i Sydøstasien under tre forskellige mærkenavne.

Virksomhederne er Rockey Tech HK Ltd (Hong Kong), Beijing Luokai Technology Co. Ltd (PRC), og Chitchat Technology Ltd (Taiwan).

Det er de mærkenavne, som WhatsApp hævder, at de har handlet med falske apps og tilføjelser under Heymods, Fremhæv Mobiog Hej WhatsApp.

Meget enkelt sagt argumenterer WhatsApp for, at de tiltalte udmærket vidste, at deres adfærd ikke var i overensstemmelse med Metas forskellige vilkår og betingelser, og at formålet med at overtræde disse vilkår og betingelser var at få adgang til og misbruge legitime brugeres konti.

Retsdokumentet indgivet af WhatsApp indeholder et skærmbillede af den angiveligt slyngel-app, der blev kaldt Hej WhatsApp Android, der endte på alternative Android-downloadmarked Malavida, hvor appbeskrivelsen helt åbent advarer brugerne:

WhatsApp autoriserer slet ikke brugeren af ​​disse [modifikationsværktøjer], så download af HeyWhatsApp […] kan føre til at blive udelukket fra tjenesten […] Det garanterer heller ikke korrekt funktion, hvilket betyder, at vi ofte støder på en mangel på stabilitet.”

Andre useriøse apps i retssagen, siger Meta, var tilgængelige i selve Google Play Butik, hvilket betyder ikke kun, at de modtog Googles officielle imprimatur, men også potentielt nåede ud til et meget bredere publikum (og sandsynligvis et publikum med mere forsigtige holdninger til cybersikkerhed).

En af disse apps blev downloadet mere end 1,000,000 gange, siger sagsøgerne, og en anden app oversteg 100,000 downloads.

Som WhatsApp skævt siger, "Tiltalte afslørede ikke i Google Play Butik eller i dens privatlivspolitikker, at denne applikation indeholdt malware designet til at indsamle brugerens WhatsApp-godkendelsesoplysninger."

(Som en lige så skæv side, kan vi ikke lade være med at spekulere på, hvor mange mennesker der alligevel ville have installeret appen, selvom de tiltalte på forhånd havde indrømmet, at "denne software stjæler din adgangskode".)

Hvad skal jeg gøre?

• Undgå at gå ud af markedet, hvis du kan. Som denne sag minder os om, gør masser af malware det forbi Google Plays automatiserede "softwarekontrol"-proces, men der er i det mindste nogle grundlæggende cybersikkerhedstjek og -balancer anvendt af Google. I modsætning hertil tager mange off-market Android-downloadsider helt bevidst en "alt går"-tilgang, og nogle er endda stolte af at acceptere apps, som Google afviste.
• Overvej en tredjeparts cybersikkerhedsapp til din Android. Apps fra cybersikkerhedsspecialister hjælper dig med at opdage og blokere en bred vifte af useriøse websteder og ondsindede apps, selvom Googles Play Butik lader dem slippe igennem. (Ja, Sophos har en, og det er gratis.)
• Hvis det lyder for godt til at være sandt, er det for godt til at være sandt. Har du virkelig brug for at ændre WhatsApp-farverne? Hvis den officielle app ikke vil lade dig gøre det, hvorfor skulle du så stole på en, der hævder at have opdaget en løsning? I særdeleshed skal du ikke være meget opmærksom på de crowd-sourcede vurderinger på app-downloadsider, inklusive Google Play selv. Disse anmeldelser kunne have været efterladt af enhver.
• Fjern regelmæssigt apps, som du ikke rigtig har brug for eller ikke bruger meget. Løst sagt, jo flere apps du har på din telefon, jo større er dit angrebsareal, og jo mere sandsynligt vil du ende med at give personlige data væk, som du ikke havde tænkt dig. Hvorfor give huset plads til apps, der ikke tjener et klart og nyttigt formål?

Vær især på vagt over for apps, der hævder, at de kun er tilgængelige på alternative downloadwebsteder af spændende årsager, såsom "Google vil ikke have, at du skal have denne app, fordi den reducerer deres annonceindtægter", eller "denne investeringsapp er af kun invitation, så del ikke dette særlige link med nogen”.

Der er mange legitime og nyttige apps, der ikke stemmer overens med Googles forretnings- og kommercielle regler, og som derfor aldrig vil komme ind i den konkurrenceprægede verden af ​​Google Play...

…men der er mange, mange flere apps, der bliver afvist af Google, fordi de tydeligvis indeholder cybersikkerhedsfejl, enten på grund af programmører, der var dovne, inkompetente eller begge dele, eller fordi skaberne af appen var ikke-rekonstruerede cyberkriminelle.

Som vi gerne vil sige: Hvis du er i tvivl/Udlad det.

---