【提防騙案】5億WhatsApp帳戶電話號碼流出　300萬港人受牽連

約 4.87 億 WhatsApp 帳戶的登記號碼，上星期六被黑客放上暗網發售，數據中更列明包含約 300 萬香港用家電話號碼，用家除了要留意是否 WhatsApp 被入侵之外，更重要是提高警覺，同時加強帳戶安全功能！

網絡安全網站 Cybernews 上星期六發現，有黑客公然於暗網出售 WhatsApp 帳戶資料，數量更多達 4.87 億，雖然有關資料只得登記的電話號碼，但安全專家強調不容忽視，因為過往曾多次發生黑客僅使用電話號碼，便能奪取 WhatsApp 帳戶的成功個案，主要方法有二。

第一種方法是透過 SIM swapping 技術，黑客可透過社交工程手法，向電訊商客戶服務員訛稱遺失 SIM 卡，要求對方將來電及短訊全部傳發至另一號碼上，以此方法截取 WhatsApp 用家的 2FA 確認碼，不過這種情況在香港較少發生。

另一種方法是黑客會直接經 WhatsApp 聯絡攻擊目標，同樣以社交工程方法，讓對方相信自己是 WhatsApp 員工，然後訛稱因發生數據外洩事故，因此需與對方確認安全短訊，騙取對方交出 2FA 驗證碼。

由此可見，單憑登記的電話號碼已存在帳戶被奪風險，最重要是黑客手頭上的號碼已被確認為真實用家，因此可省卻黑客亂撞亂試的麻煩。Cybernews 記者於是向黑客求證資料真偽，對方亦大方給出約 2,000 個樣本，經確認後，證明的確為英國用家所擁有，可信性大大提高。

記者雖然嘗試打探數據來源，不過對方未有回覆，只表示任何人有興趣都可以按國家分類單獨購買，以美國的 3,000 多萬用家為例，黑客就開價 7,000 美元。

WhatsApp 方面亦即時回應，指未有證據顯示數據庫曾被入侵，亦未發生任何數據外洩事件，發言人估計對方只是濫用資料抓取（data scrapping）技術，從不明途徑搜集及記錄 WhatsApp 用家的資料再出售。

所謂資料抓取技術，簡單來說是黑客透過編寫程式，於社交平台或其他網站搜尋相關資料，例如 LinkedIn，由於用家一般都傾向願意公開自己的職場履歷，因此非常容易被黑客抓取用家資料，2021 年初曾有 5 億 LinkedIn 用家資料被放暗網出售，當中便包括用家的全名、電郵地址、電話及工作地點資訊等。

安全專家估計純粹為 data scrapping 而不涉外洩，但亦由於抓取容易，因此價值不高，5 億數據只以四位數字美元出售。

今次事件中由於有 300 萬香港用家受牽連，因此用家必須即時加強帳戶安全功能，例如啟用 2FA 驗證功能，同時要小心防範陌生或來自朋友的訊息，切勿輕易交出 2FA 驗證碼。

資料來源：https://cybersecuritynews.com/whatsapp-users/

相關文章：【補完陷阱】特製版WhatsApp暗藏木馬　騎劫用家帳戶詐騙親友