Un nuovo metodo che sfrutta la funzione di inoltro delle chiamate consente ad attori malevoli di prendere possesso dell’account WhatsApp altrui, ottenendo accesso a messaggi e contatti.
A rilevarlo e divulgarlo per primo è stato il fondatore e CEO di CloudSEK, Rahul Sasi, che in un suo post pubblicato su Linkedln spiega come viene utilizzato.
La vittima riceve una chiamata telefonica che la convince a telefonare un certo numero che in realtà, all’insaputa della vittima, è una richiesta di servizio al provider di telefonia mobile per attivare l’inoltro di chiamata nel caso di telefono occupato o non raggiungibile.
L’inoltro di chiamata viene collegato al numero dell’aggressore. Nel backend, l’attaccante attiva il processo di registrazione di WhatsApp per il numero della vittima e sceglie l’opzione per inviare l’OTP tramite telefonata. Dal momento che il telefono della vittima è occupato, l’OTP verrà inviato al numero del cyber criminale.
Lo stesso metodo – spiega l’esperto – può essere utilizzato per hackerare l’account WhatsApp di chiunque nel caso in cui il cyber criminale abbia l’accesso fisico al telefono e possa effettuare una telefonata. Inoltre, tutti i paesi e fornitori di servizi offrono questo tipo di opzione, il che rende questo metodo utilizzabile a livello globale.
BleepingComputer ha svolto una successiva analisi dalla quale è emerso che il sistema è effettivamente efficace e che consente di prendere il controllo dell’account WhatsApp della vittima in pochi minuti. Questa analisi ha inoltre aggiunto ulteriori informazioni alla descrizione del processo.
Il numero che la vittima deve effettuare inizia con un codice MMI (i codici inviati da e verso l’operatore telefonico con i quali possono essere attivate o disattivate varie opzioni o servizi, che iniziano con un asterisco o un cancelletto).
Una volta che l’attore malevole attiva WhatsApp sul proprio dispositivo così come descritto, può attivare l’autenticazione a due fattori (2FA), impedendo al legittimo proprietario di accedervi.
Durante i test effettuati da BleepingComputer, la vittima ha ricevuto sul proprio cellulare dei messaggi che la informavano che era in corso la registrazione di WhatsApp su un altro dispositivo, ostacolo che può essere bypassato dal cyber criminale intrattenendo la vittima nella chiamata fino a ottenere il codice OTP.
https://www.securityinfo.it/2022/06/02/account-whatsapp-rubati-con-linoltro-di-chiamata/