Существует хитрость, которая позволяет злоумышленникам захватить учетную запись WhatsApp жертвы и получить доступ к личным сообщениям и списку контактов.
Этот метод основан на автоматизированной службе операторов мобильной связи для переадресации вызовов на другой номер телефона и возможности WhatsApp отправлять код проверки одноразового пароля (OTP) посредством голосового вызова.
Рахул Саси, основатель и генеральный директор компании по защите от цифровых рисков CloudSEK, опубликовал некоторые подробности о методе, заявив, что он используется для взлома учетной записи WhatsApp.
Он обнаружил, что метод работает, хотя и с некоторыми оговорками, которые может преодолеть достаточно опытный злоумышленник.
Злоумышленнику требуется всего несколько минут, чтобы завладеть учетной записью WhatsApp жертвы, но ему нужно знать номер телефона жертвы и быть готовым применить социальную инженерию.
Саси говорит, что злоумышленнику сначала нужно убедить жертву позвонить на номер, который начинается с кода человеко-машинного интерфейса (MMI), который оператор мобильной связи настроил для включения переадресации вызовов.
В зависимости от оператора, другой код MMI может перенаправлять все вызовы на терминал на другой номер или только тогда, когда линия занята или нет приема.
Эти коды начинаются со звездочки (*) или решётки (#). Их легко найти, и, согласно проведенному нами исследованию, их поддерживают все основные операторы мобильной связи.