По информации Bleeping Computer, злоумышленники в США перехватывают доступ к учетным записям WhatsApp жертв с помощью зарезервированных под себя кодов MMI в мобильной сети некоторых операторов (Verizon и Vodafone) и системы восстановления пароля в WhatsApp с помощью одноразового пароля (one-time password — OTP), полученного через голосовой вызов.
Фактически они заставляют жертву сделать переадресацию на их телефон при помощи доступных опций как мобильного оператора, так и разрешенных систем безопасности мессенджера.
Злоумышленники резервируют и оформляют в сетях оператора кода MMI типа **67* или *405*, настроенные на переадресацию на их телефон голосовых вызовов с любого другого телефона в этой же сети.
Код MMI (Man-Machine Interface) используется для формирования USSD запроса с мобильного телефона, либо смартфона. MMI-код начинается со знака звездочка, а заканчивается в случае с упомянутыми в новости операторами, также *. USSD (Unstructured Supplementary Service Data, «неструктурированные дополнительные сервисные данные») — это коммуникационный протокол, который используется в сетях GSM для обмена короткими текстовыми сообщениями.
Далее за несколько минут злоумышленники могут выполнить процедуру взлома учетной записи WhatsApp жертвы, применив приемы социальной инженерии. Им нужно только уговорить жертву ввести нужный код MMI и запустить его активацию, якобы, ей нужно срочно позвонить на этот номер техподдержки оператора или что-то в этом роде.
В зависимости от оператора через код MMI можно перенаправить все вызовы на другой номер в любом случае или только тогда, когда линия занята (идет разговор) или нет приема.
«Сначала вам звонит злоумышленник, который убеждает вас позвонить на следующий номер **67* или *405*. Через несколько минут WhatsApp выкинет вас из системы, а злоумышленники получат полный контроль над вашей учетной записью, перенастроят двухфакторную аутентификацию (2FA) под свое устройство, чтобы вы не могли быстро восстановить аккаунт», — рассказал ИБ-исследователь Bleeping Computer.
После того, как злоумышленник обманом заставил жертву переадресовывать звонки на свой номер, он запускает процесс регистрации в WhatsApp на своем устройстве, выбирая вариант получения одноразового кода с помощью голосового вызова.
Во время атаки устройство жертвы также получает текстовые сообщения, информирующие о том, что WhatsApp регистрируется на другом устройстве. Но обычно пользователи пропускают такие сообщения. Злоумышленники же наоборот пытаются во время проведения взлома отвлекать жертву, звоня и разговаривая с ней. Это нужно, чтобы переадресация через MMI сработала точно без сбоя.
Эксперты Bleeping Computer повторили такую атаку на двух разных операторах и выяснили, что в процессе таких действий выскакивает предупреждение о включении переадресации, которое пользователь должен подтвердить. В этот момент злоумышленник уговаривает жертву нажать в этом окне единственную кнопку OK.
По уточнению экспертов, единственный способ избежать кражи аккаунта в этом случае, если пользователь не понимает, как работают коды MMI, превентивно включить в настройках мессенджера двухфакторную аутентификацию. Эта функция не позволяет злоумышленникам получить контроль над учетной записью в ходе вышеописанной атаки, так как они не будут знать PIN-код, который запрашивается в приложении при запуске, если не уговорят пользователя рассказать им и эти данные.
