MMI (Man Machine Interface) — это команды, специальный код оператора, использующийся для формирования USSD-запросов, который обеспечивает взаимодействие между абонентом и сервисными приложениями оператора.
Исследователи в области кибербезопасности из BleepingComputer рассказали об интересном методе, который позволяет получить контроль над аккаунтами пользователей WhatsApp. Метод основан на автоматизированной службе мобильных операторов для переадресации звонков на другой номер телефона и возможности WhatsApp отправлять код проверки одноразового пароля (OTP) с помощью голосового вызова.
BleepingComputer протестировал и обнаружил, что метод работает, хотя и с некоторыми оговорками, которые может преодолеть достаточно опытный злоумышленник. Процесс взлома и захвата учетной записи жертвы в WhatsApp может занимать буквально несколько минут, но злоумышленникам для этого понадобится знать номер телефона цели и быть готовым к применению социальной инженерии.
Злоумышленник сначала должен убедить жертву сделать звонок на номер, который начинается с кода MMI, который оператор мобильной связи настроил для включения переадресации вызовов. Эти коды начинаются со звезды (*) или хэш-символа (#).
Сначала вы получаете звонок от атакующего, который убеждает вас позвонить на номер, начинающийся с **67*10 или *405*10. В течение буквально нескольких минут вы выйдете из учётки WhatsApp, а злоумышленник получит полный контроль над ней. - обьясняет ген. директор CloudSEK
Исследователь объясняет, что 10-значный номер принадлежит злоумышленнику, а код MMI перед ним говорит оператору мобильной связи переадресовывать все звонки на номер телефона, указанный после него, когда линия жертвы занята. Как только они обманом заставили жертву переадресовывать звонки на свой номер, злоумышленник начинает процесс регистрации WhatsApp на своем устройстве, выбирая опцию получения OTP с помощью голосового вызова. После того, как они получат код OTP, злоумышленник может зарегистрировать учетную запись WhatsApp жертвы на своем устройстве и включить двухфакторную аутентификацию (2FA), которая не позволяет законным владельцам восстановить доступ.
Защита от атак этого типа проста, необходимо просто включить двухфакторную аутентификацию (2FA) в WhatsApp. Эта функция не позволит злоумышленникам получить контроль над учетной записью, требуя ПИН-код всякий раз, когда они будут регистрировать телефон в приложении для обмена сообщениями.
Просто о сложном мире информационных технологий и безопасности.
Подписывайся на нас и узнавай новости первым!
Страница ВКонтакте - Защита информации Якутии
Страница Одноклассники - Защита информации Якутии
Подписывайтесь на YouTube-канал - Защита информации Якутии
Rutube-канал - Защита информации Якутии
Telegram канал - Защита информации Якутии