Saldırganların kurbanın WhatsApp hesabını ele geçirmesine ve kişisel mesajlara ve iletişim listesine erişmesine izin veren bir numara var.
Yöntem, mobil operatörlerin otomatik hizmetine, farklı bir telefon numarasına ve WhatsApp’ın sesli arama yoluyla tek seferlik şifre (OTP) doğrulama kodu gönderme seçeneğine dayanmaktadır.
Dijital risk koruma şirketi CloudSek'in kurucusu ve CEO'su Rahul Sasi, WhatsApp hesabını kesmek için kullanıldığını söyleyen yöntem hakkında bazı ayrıntılar yayınladı.
BleepingComputer test etti ve yöntemin yeterince yetenekli bir saldırganın üstesinden gelebileceği bazı uyarılarla da olsa çalıştığını buldu.
Saldırganın bir kurbanın WhatsApp hesabını devralması sadece birkaç dakika sürer, ancak hedefin telefon numarasını bilmeleri ve bazı sosyal mühendislik yapmaya hazır olmaları gerekir.
Sasi, bir saldırganın ilk olarak kurbanı, mobil taşıyıcının çağrı yönlendirmesini etkinleştirmek için ayarladığı bir Man Makinesi Arayüzü (MMI) koduyla başlayan bir sayıya çağırmaya ikna etmesi gerektiğini söylüyor.
Taşıyıcıya bağlı olarak, farklı bir MMI kodu bir terminaldeki tüm çağrıları farklı bir sayıya iletebilir veya hat meşgul olduğunda veya resepsiyon olmadığında.
Bu kodlar bir yıldız (*) veya karma (#) sembolü ile başlar. Kolayca bulunurlar ve yaptığımız araştırmadan, tüm büyük mobil ağ operatörleri bunları destekler.
“İlk olarak, saldırgandan sizi aşağıdaki numaraya çağrı yapmaya ikna edecek bir çağrı alırsınız ** 67*veya*405*. Birkaç dakika içinde WhatsApp'ınız çıkacak ve saldırganlar hesabınızın tam kontrolünü alacaktı ” - Rahul Sasi
Araştırmacı, 10 basamaklı numaranın saldırgana ait olduğunu ve önündeki MMI kodunun, mobil operatöre kurbanın hattı meşgul olduğunda belirtilen telefon numarasına tüm çağrıları iletmesini söylediğini açıklıyor.
Kurbanı numaralarına yönlendirmeye yönelik çağrıları kandırdıktan sonra, saldırgan cihazlarındaki WhatsApp kayıt sürecini başlatarak OTP'yi sesli çağrı yoluyla alma seçeneğini seçer.
OTP kodunu aldıktan sonra, saldırgan kurbanın WhatsApp hesabını cihazlarına kaydedebilir ve meşru sahiplerin erişimi yeniden kazanmasını önleyen iki faktörlü kimlik doğrulamasını (2FA) etkinleştirebilir.
Yöntem basit görünse de, BleepingComputer'ın test sırasında bulunduğu gibi, işe yaratmak biraz daha fazla çaba gerektirir.
Öncelikle, saldırganın kurban cihazının durumuna (koşulsuz olarak) bakılmaksızın tüm çağrıları ileten bir MMI kodu kullandıklarından emin olması gerekir. Örneğin, MMI yalnızca bir çizgi meşgul olduğunda aramaları iletirse, çağrı beklemesi kaçırmanın başarısız olmasına neden olabilir.
Test sırasında BleepingComputer, hedef cihazın WhatsApp'ın başka bir cihaza kaydedildiğini bildiren kısa mesajlar aldığını fark etti.
Saldırgan sosyal mühendisliğe de yönelirse ve WhatsApp OTP kodunu sesle alacak kadar uzun bir telefon görüşmesiyle kullanıcılar bu uyarıyı kaçırabilir.
Arama yönlendirme kurban cihazında zaten etkinleştirilmişse, saldırgan yeniden yönlendirme için kullanılandan farklı bir telefon numarası kullanmalıdır - daha fazla sosyal mühendislik gerektirebilecek küçük bir rahatsızlık.
Hedef kullanıcı için şüpheli etkinliğin en net ipucu, mobil operatörler cihazları için çağrı yönlendirmeyi açtıktan sonra gerçekleşir, çünkü aktivasyon, kullanıcı onaylayana kadar gitmeyen ekranda kaplanmış bir uyarı ile birlikte gelir.
Bu son derece görünür uyarı ile bile, tehdit aktörlerinin hala başarı şansı vardır, çünkü çoğu kullanıcı MMI kodlarına veya çağrı yönlendirmeyi devre dışı bırakan cep telefonu ayarlarına aşina değildir.
Bu engellere rağmen, iyi sosyal mühendislik becerilerine sahip kötü niyetli aktörler, kurbanları Whatsapp hesabını cihazlarına kaydettirmek için OTP kodunu alana kadar kurbanı telefonda meşgul etmelerini sağlayan bir senaryo tasarlayabilir.
BleepingComputer, bu yöntemi Verizon ve Vodafone'dan mobil hizmetler kullanarak test etti ve makul bir senaryoya sahip bir saldırganın WhatsApp hesaplarını ele geçireceği sonucuna vardı.
Kamu verilerine göre, Sasi'nin gönderisi Airtel ve Jio mobil taşıyıcılarını Aralık 2020'den itibaren 400 milyondan fazla müşteriye sahip.
Bu tür saldırıya karşı korunmak, WhatsApp'ta iki faktörlü kimlik doğrulama korumasını açmak kadar kolaydır. Bu özellik, mesajlaşma uygulamasına bir telefon kaydettiğinizde kötü amaçlı aktörlerin bir pim gerektirerek hesabın kontrolünü almasını önler.
Hacker, kütüphaneleri kaçırma, AWS anahtarlarını çalmak etik araştırmalar olduğunu söylüyor
Windows 11, Pwn2own yarışmasının son gününde üç kez daha hacklendi
Bilgisayar korsanları, kaydetmeden önce çevrimiçi hesaplarınızı hackleyebilir
Windows 11 tekrar PWN2OWN'de hacklendi, Tesla Model 3 de düşüyor
ABD DOJ artık CFAA kapsamında etik hackerları kovuşturmayacak
Kaynak: Bleeping Computer