- Сообщения
- 446
Существует трюк, позволяющий взламывать аккаунты WhatsApp с помощью функции переадресации вызовов и получать доступ к личным сообщениям и спискам контактов. Метод основан на использовании автоматизированной услуги мобильных операторов по переадресации звонков на другой номер телефона и возможности WhatsApp отправлять код верификации одноразового пароля (OTP) через голосовой вызов.
Man Machine Interface (MMI)
Рахул Саси, основатель и генеральный директор компании по защите от цифровых рисков CloudSEK, опубликовал некоторые подробности об этом методе, заявив, что он используется для взлома аккаунта WhatsApp. Специалисты BleepingComputer провели тестирование и обнаружили, что метод работает, хотя и с некоторыми оговорками, которые может преодолеть достаточно опытный хакер.
Для того чтобы завладеть учетной записью WhatsApp жертвы, хакеру потребуется всего несколько минут, но он должен знать номер телефона жертвы и быть готовым применить социальную инженерию. Саси говорит, что хакеру сначала нужно убедить жертву сделать звонок на номер, начинающийся с кода MMI, который оператор мобильной связи установил для включения переадресации. В зависимости от оператора, определенный код MMI может переадресовывать либо все звонки на терминал на другой номер, либо только тогда, когда линия занята или нет приема.
Эти коды начинаются со звездочки (*) или символа решетки (#). Их легко найти, и, судя по проведенному исследованию, все основные операторы мобильной связи поддерживают их.
Исследователь объясняет, что 10-значный номер принадлежит хакеру, а стоящий перед ним код MMI указывает оператору мобильной связи переадресовывать все звонки на указанный после него номер телефона, когда линия жертвы занята.
Обманом заставив жертву переадресовывать звонки на свой номер, хакер запускает процесс регистрации WhatsApp на своем устройстве, выбирая опцию получения одноразового пароля (OTP) через голосовой вызов.
WhatsApp отправляет OTP-коды через текстовый или голосовой вызов:
После получения OTP-кода хакер может зарегистрировать учетную запись WhatsApp жертвы и включить двухфакторную аутентификацию (2FA), которая не позволяет законным владельцам аккаунта восстановить доступ.
Для того чтобы завладеть учетной записью WhatsApp жертвы, хакеру потребуется всего несколько минут, но он должен знать номер телефона жертвы и быть готовым применить социальную инженерию. Саси говорит, что хакеру сначала нужно убедить жертву сделать звонок на номер, начинающийся с кода MMI, который оператор мобильной связи установил для включения переадресации. В зависимости от оператора, определенный код MMI может переадресовывать либо все звонки на терминал на другой номер, либо только тогда, когда линия занята или нет приема.
Эти коды начинаются со звездочки (*) или символа решетки (#). Их легко найти, и, судя по проведенному исследованию, все основные операторы мобильной связи поддерживают их.
Исследователь объясняет, что 10-значный номер принадлежит хакеру, а стоящий перед ним код MMI указывает оператору мобильной связи переадресовывать все звонки на указанный после него номер телефона, когда линия жертвы занята.
Обманом заставив жертву переадресовывать звонки на свой номер, хакер запускает процесс регистрации WhatsApp на своем устройстве, выбирая опцию получения одноразового пароля (OTP) через голосовой вызов.
WhatsApp отправляет OTP-коды через текстовый или голосовой вызов:

После получения OTP-кода хакер может зарегистрировать учетную запись WhatsApp жертвы и включить двухфакторную аутентификацию (2FA), которая не позволяет законным владельцам аккаунта восстановить доступ.
Некоторые предостережения
Хотя метод кажется простым, для того чтобы он сработал, все-таки требуется немного больше усилий, как выяснили специалисты в ходе тестирования.
Во-первых, хакеру необходимо убедиться, что он использует код MMI, который переадресует все вызовы, независимо от состояния устройства жертвы (безоговорочно). Например, если MMI переадресует звонки только в том случае, когда линия занята, ожидание вызова может привести к неудаче перехвата.
В ходе тестирования специалисты заметили, что на устройство жертвы также приходили текстовые сообщения, информирующие о том, что WhatsApp зарегистрирован на другом устройстве.
Пользователи могут пропустить это предупреждение, если хакер также обратится к социальной инженерии и будет вовлекать жертву в телефонный разговор достаточно долго, чтобы получить OTP-код WhatsApp через голосовой вызов.
Если переадресация уже была активирована на устройстве жертвы, хакерам придется использовать другой номер телефона, отличный от того, который использовался для переадресации - небольшое неудобство, которое может потребовать дополнительных мер социальной инженерии.
Наиболее явный признак подозрительной активности для атакуемого пользователя появляется после того, как операторы мобильной связи включают переадресацию на его устройстве, поскольку активация сопровождается предупреждением на экране, которое не исчезает, пока пользователь не подтвердит его:
Даже с таким хорошо заметным предупреждением у злоумышленников все еще есть хорошие шансы на успех, поскольку большинство пользователей не знакомы с кодами MMI или настройками мобильного телефона, которые отключают переадресацию.
Несмотря на эти препятствия, хакеры с хорошими навыками социальной инженерии могут разработать сценарий, который позволит им отвлекать жертву разговором по телефону, пока они не получат OTP-код для регистрации скомпрометированной учетной записи WhatsApp на своем устройстве. Эксперты BleepingComputer говорят, что они протестировали этот метод с помощью мобильных сервисов Verizon и Vodafone и пришли к выводу, что хакер с правдоподобной легендой и хорошими знаниями СИ, скорее всего, сможет перехватить учетные записи WhatsApp.
В посте Саси речь идет о мобильных операторах Airtel и Jio, каждый из которых, согласно открытым данным, имеет более 400 миллионов клиентов по состоянию на декабрь 2020 года.
Защититься от атак такого типа можно, включив двухфакторную аутентификацию в WhatsApp. Эта функция не позволяет злоумышленникам получить контроль над учетной записью, запрашивая PIN-код при каждой регистрации телефона в приложении для обмена сообщениями.
Во-первых, хакеру необходимо убедиться, что он использует код MMI, который переадресует все вызовы, независимо от состояния устройства жертвы (безоговорочно). Например, если MMI переадресует звонки только в том случае, когда линия занята, ожидание вызова может привести к неудаче перехвата.
В ходе тестирования специалисты заметили, что на устройство жертвы также приходили текстовые сообщения, информирующие о том, что WhatsApp зарегистрирован на другом устройстве.
Пользователи могут пропустить это предупреждение, если хакер также обратится к социальной инженерии и будет вовлекать жертву в телефонный разговор достаточно долго, чтобы получить OTP-код WhatsApp через голосовой вызов.
Если переадресация уже была активирована на устройстве жертвы, хакерам придется использовать другой номер телефона, отличный от того, который использовался для переадресации - небольшое неудобство, которое может потребовать дополнительных мер социальной инженерии.
Наиболее явный признак подозрительной активности для атакуемого пользователя появляется после того, как операторы мобильной связи включают переадресацию на его устройстве, поскольку активация сопровождается предупреждением на экране, которое не исчезает, пока пользователь не подтвердит его:

Даже с таким хорошо заметным предупреждением у злоумышленников все еще есть хорошие шансы на успех, поскольку большинство пользователей не знакомы с кодами MMI или настройками мобильного телефона, которые отключают переадресацию.
Несмотря на эти препятствия, хакеры с хорошими навыками социальной инженерии могут разработать сценарий, который позволит им отвлекать жертву разговором по телефону, пока они не получат OTP-код для регистрации скомпрометированной учетной записи WhatsApp на своем устройстве. Эксперты BleepingComputer говорят, что они протестировали этот метод с помощью мобильных сервисов Verizon и Vodafone и пришли к выводу, что хакер с правдоподобной легендой и хорошими знаниями СИ, скорее всего, сможет перехватить учетные записи WhatsApp.
В посте Саси речь идет о мобильных операторах Airtel и Jio, каждый из которых, согласно открытым данным, имеет более 400 миллионов клиентов по состоянию на декабрь 2020 года.
Защититься от атак такого типа можно, включив двухфакторную аутентификацию в WhatsApp. Эта функция не позволяет злоумышленникам получить контроль над учетной записью, запрашивая PIN-код при каждой регистрации телефона в приложении для обмена сообщениями.