Всё, что вы хотели знать о цифровой безопасности

Очередной способ угона Whatsapp

угрозы
Чужой аккаунт Whatsapp — лакомый кусок. Злоумышленники не стоят на месте и придумывают все новые и новые способы угона/захвата чужих аккаунтов. Разберем недавнюю массовую атаку на индийских пользователей сервиса, ибо это также применимо и в любой другой стране.

Итак, по сценарию из ссылки.

Сцена 1

Атакующий уговаривает жертву позвонить на

**67*<10ти-значный-номер>
либо
*405*<10-значный-номер>

, где <10ти-значный-номер> - номер, под контролем атакующего.

Сцена 2 (параллельно)

Атакующий запрашивает whatsapp-регистрацию звонком, и ловит переадресованный голосовой код на свой <10ти-значный-номер>, входит в аккаунт, после чего нас из этого аккаунта банально выбрасывает.

Комментарии

Довольно несложная схемка, но есть пару неточностей:
  1. **67*<10ти-значный-номер> является неполной командой, т.к. любая ussd-команда должна быть закрыта в конце, в данном случае решеткой #, чтобы получилось вот так: **67*<10ти-значный-номер>#
  2. **67* - это переадресация не всех звонков, как указано в ссылке, а только когда занято, следовательно жертву надо либо зафлудить (т.е. звонить без остановки) в этот момент, чтобы у нее таки стало занято, либо гораздо проще — сразу кормить жертве правильную команду на переадресацию абсолютно всех вызовов: **21*<10ти-значный-номер>#
  3. *405* - это команда какого-то из индийский операторов сотовой связи, следовательно она неактуальна для любого другого оператора в мире.
  4. Соответственно у вашего оператора могут быть какие-то свои, другие команды, что не отменяет общей схемы:
**<какие-то цифры>*<10ти-значный-номер>#


Лечение

Ну, во-первых, никогда не стоит звонить куда-либо по чьей-либо просьбе. Это в 99% случаев развод, а в оставшемся 1% случаев проблему наверняка можно решить другим способом. Атаки с применением социальной инженерии всегда расчитаны на поспешность: «быстрее/срочно/вопрос жизни и смерти». Достаточно дать самому(-ой) себе всего лишь пару минут на размышления, и скорее всего, в конечном итоге, мы просто посмеемся над несуразностью подобной просьбы/требования.

Во-вторых, имеет смысл включить 2-х факторную аутентификацию везде, где ее можно включить (а не только в whatsapp’е). Это может звучать как агитация (по аналогии со сложными паролями), но на практике это действительно очень эффективный способ защиты своих аккаунтов.
2022-06-11 16:59