Ένα τέχνασμα που λειτουργεί μέσω προώθησης κλήσεων, επιτρέπει σε κακόβουλους χρήστες να παραβιάσουν τον λογαριασμό WhatsApp ενός θύματος και να αποκτήσουν πρόσβαση σε προσωπικά μηνύματα και λίστες επαφών.
Δείτε επίσης: WhatsApp: Τερματίζει την υποστήριξη για iOS 10 και 11 στις 24 Οκτωβρίου
Η μέθοδος βασίζεται στην αυτοματοποιημένη υπηρεσία προώθησης κλήσεων σε διαφορετικό αριθμό τηλεφώνου των φορέων κινητής τηλεφωνίας και στην επιλογή του WhatsApp για αποστολή κωδικού επαλήθευσης μίας χρήσης (OTP) μέσω φωνητικής κλήσης.
Ο Rahul Sasi, ο ιδρυτής και διευθύνων σύμβουλος της εταιρείας προστασίας ψηφιακών κινδύνων CloudSEK, δημοσίευσε ορισμένες λεπτομέρειες σχετικά με τη μέθοδο λέγοντας ότι χρησιμοποιείται για να χακάρει λογαριασμούς WhatsApp.
Ένας επαρκώς καταρτισμένος εισβολέας θα μπορούσε να χρησιμοποιήσει εύκολα το τέχνασμα και να προσπεράσει τις ειδοποιήσεις ασφαλείας.
Χρειάζονται μόνο λίγα λεπτά για να καταλάβει ο εισβολέας τον λογαριασμό WhatsApp ενός θύματος, αλλά πρέπει να γνωρίζει τον αριθμό τηλεφώνου του στόχου και να εφαρμόσει κάποιου είδους social engineering.
Ο Sasi λέει ότι ένας εισβολέας πρέπει πρώτα να πείσει το θύμα να κάνει μια κλήση σε έναν αριθμό που ξεκινά με έναν κωδικό Man Machine Interface (MMI) που έχει ρυθμίσει η εταιρεία κινητής τηλεφωνίας για να ενεργοποιήσει την προώθηση κλήσεων.
Δείτε ακόμα: WhatsApp groups: Σε λίγο θα μπορείτε να αποχωρείτε «σιωπηλά»
Ανάλογα με τον πάροχο, ένας διαφορετικός κωδικός MMI μπορεί να προωθήσει όλες τις κλήσεις σε ένα τερματικό σε διαφορετικό αριθμό ή απλώς όταν η γραμμή είναι κατειλημμένη ή δεν υπάρχει λήψη.
Αυτοί οι κωδικοί ξεκινούν με ένα σύμβολο αστεριού (*) ή δίεσης (#). Βρίσκονται εύκολα και όλοι οι μεγάλοι πάροχοι δικτύων κινητής τηλεφωνίας τους υποστηρίζουν.
Ο ερευνητής εξηγεί ότι ο 10ψήφιος αριθμός ανήκει στον εισβολέα και ο κωδικός MMI που βρίσκεται μπροστά του λέει στον πάροχο κινητής τηλεφωνίας να προωθήσει όλες τις κλήσεις στον αριθμό τηλεφώνου που καθορίζεται μετά από αυτόν όταν η γραμμή του θύματος είναι κατειλημμένη.
Μόλις το θύμα ξεγελαστεί να προωθήσει κλήσεις στον αριθμό του, ο εισβολέας ξεκινά τη διαδικασία εγγραφής WhatsApp στη συσκευή του, επιλέγοντας την επιλογή λήψης του OTP μέσω φωνητικής κλήσης.
Αφού λάβει τον κωδικό OTP, ο εισβολέας μπορεί να εγγράψει τον λογαριασμό WhatsApp του θύματος στη συσκευή του και να ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων (2FA), ο οποίος εμποδίζει τους νόμιμους κατόχους να ανακτήσουν την πρόσβαση.
Δείτε επίσης: WhatsApp: Έρχεται το chatting σε πολλαπλά τηλέφωνα και tablet
Η προστασία έναντι αυτού του τύπου επίθεσης είναι εύκολη, καθώς το μόνο που χρειάζεται είναι η ενεργοποίηση της προστασίας ταυτότητας δύο παραγόντων στο WhatsApp. Αυτή η δυνατότητα εμποδίζει τους κακόβουλους παράγοντες να αποκτήσουν τον έλεγχο του λογαριασμού, απαιτώντας PIN κάθε φορά που καταχωρείτε ένα τηλέφωνο στην εφαρμογή ανταλλαγής μηνυμάτων.
Πηγή: BleepingComputer
