Специальный номер
Эксперты компании CloudSEK обнаружили новый трюк, позволяющий перехватывать контроль над аккаунтами WhatsApp. Это не самая простая задача, и реализация атаки требует некоторой социальной инженерии, однако в целом проблема довольно опасна.
В основе метода - использование автоматизированных служб переадресации вызова у сотовых операторов, с помощью чего можно перехватить одноразовый пароль WhatsApp, отправляемый в виде голосового сообщения.
Злоумышленнику потребуется знать номер телефона потенциальной жертвы, а также убедить ее позвонить по специальному номеру, начинающемуся с MMI-кода (такие номера начинаются с * или #), чтобы разрешить переадресацию вызова. Такой код зависит от оператора; звонки могут перенаправляться на другие номера или терминалы, если линия занята или вызываемый абонент не отвечает.
Фактически жертва сама разрешает перенаправлять свои звонки на номер злоумышленника. Дальше злоумышленнику остается попытаться перепривязать чужой аккаунт WhatsApp к своему устройству и запросить код подтверждения в виде голосового сообщения, а не SMS (по умолчанию код приходит именно в виде SMS).
Здесь же, однако, кроются ключевые затруднения для злоумышленников. Во-первых, они должны знать MMI-код, который перенаправляет все вызовы с аппарата жертвы, вне зависимости от текущего состояния ее линии. Во-вторых, жертве надо все это время заговаривать зубы (очевидно, с другого номера), чтобы она не обратила внимание на SMS с предупреждением, что е аккаунт пытаются зарегистрировать на новом устройстве. Злоумышленник должен успеть получить голосовое сообщение с одноразовым паролем и ввести его до того, как жертва заподозрит неладное.
Ну, а самое главное, на смартфон жертве выводится очень заметное, перекрывающее все прочие окна предупреждение о том, что переадресация звонков включена.
Для профессионалов социальной инженерии
Тем не менее, считают в CloudSEK, профессионал социальной инженерии без особого труда может заставить жертву сделать все, что ему нужно, и отвлечь ее от подозрительных подробностей.
Защититься от атак, впрочем, довольно просто: потребуется включить двухфакторную авторизацию в WhatsApp, так что при каждом новом подключении смартфона к сети WhatsApp потребуется вводить PIN.
«При должном усердии со стороны злоумышленника PIN тоже можно выманить с помощью социальной инженерии, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEQ. - Впрочем, в описываемом сценарии слишком много факторов риска для злоумышленника. Надо быть очень убедительным, чтобы жертва позволила скомпрометировать свой аккаунт таким образом.
Речь в данном случае не идет об уязвимости WhatsApp, только о злоупотреблении функциями сотовой связи для атаки. Однако и в самом мессенджере регулярно выявляются проблемы: например, в самом начале 2022 г. была найдена уязвимость, позволявшая просматривать удаленные собеседником сообщения без его на то разрешения.