影响:他们会控制您的账户,冒充您并接收新消息。除非您的云备份安全无虞,否则他们通常不会获取您之前的聊天记录(见下文)。
保护:在 WhatsApp 上启用两步验证 (2FA) 。联系您的移动运营商询问有关 SIM 锁定功能或 SIM 卡更改的额外身份验证。
网络钓鱼/社会工程学: 黑客发送欺骗性消息(看似来自 WhatsApp、朋友或熟悉的服务)来诱骗您:
分享你的 WhatsApp 验证码:他们可能会声称错误地发送了验证码。如果你把验证码告诉他们,他们就能在他们的设备上注册你的账户。
点击恶意链接:这些链接可能会导致虚假的 WhatsApp Web 登录页面(QR 网络钓鱼/钓鱼)或将恶意软件下载到您的设备上。
影响:帐户接管或恶意软件感染。
保护:切勿分享您的 WhatsApp 验证码或 2FA PIN。 对未经请求的链接或消息要极其警惕,即使来自已知联系人(它们可能已被泄露)。
2. 设备入侵(间谍软件/恶意软件)
如果您的实际智能手机感染了复杂的恶意软件或间谍软件,WhatsApp 的加密将变得无关紧要,因为攻击者正在您的设备上运行。
网络钓鱼链接:单击链接会自动下载恶意软件。
恶意应用程序:从非官方应用程序商店下载应用程序或侧载它们。
零日漏洞:高度复杂的攻击(例如 NSO 集团的 Pegasus 间谍软件,该软件 俄罗斯 Whatsapp 移动数据库 曾以 WhatsApp 用户为目标),利用手机操作系统或 WhatsApp 本身的漏洞悄悄安装间谍软件。这类攻击很少见,通常针对高价值个人。
影响:间谍软件可以 在您的手机上解密后读取您的信息、录制通话、截取屏幕截图、记录击键、访问您的麦克风和摄像头,并且通常会危害您的整个设备。
保护:
保持手机操作系统(iOS/Android)和所有应用程序(尤其是 WhatsApp)更新到最新版本。 更新通常会修补关键的安全漏洞。
在点击可疑链接或打开来自未知发件人的附件时要格外小心。
仅从官方应用商店(Google Play Store、Apple App Store)下载应用程序。
对于 Android,请考虑使用信誉良好的移动防病毒/反恶意软件解决方案。
3.云备份漏洞
风险:默认情况下,WhatsApp 聊天备份到 Google Drive(Android)或 iCloud(iPhone)并未经过WhatsApp 端到端加密。
如果黑客获得您的 Google Drive 或 iCloud 帐户的访问权限(例如,通过网络钓鱼您的 Google/Apple ID 凭据),他们可能会从云备份中下载并访问您未加密的 WhatsApp 聊天记录。