Línea WD
Hay un truco que permite a los atacantes secuestrar la cuenta de WhatsApp de la víctima y obtener acceso a los mensajes personales y la lista de contactos.
El método se basa en el servicio automatizado de los operadores móviles para desviar las llamadas a un número de teléfono diferente y en la opción de WhatsApp para enviar un código de verificación de contraseña de un solo uso (OTP) a través de una llamada de voz.
El truco del código MMI
Rahul Sasi publicó algunos detalles sobre el método diciendo que se usa para hackear la cuenta de WhatsApp.
Se probó y descubrió que el método funciona, aunque con algunas advertencias que un atacante suficientemente hábil podría superar.
El atacante tarda solo unos minutos en apoderarse de la cuenta de WhatsApp de una víctima, pero necesita saber el número de teléfono del objetivo y estar preparado para hacer algo de ingeniería social.
Se dice que un atacante primero debe convencer a la víctima de que haga una llamada a un número que comience con un código de interfaz hombre-máquina (MMI) que el operador de telefonía móvil configuró para habilitar el desvío de llamadas.
Dependiendo del operador, un código MMI diferente puede desviar todas las llamadas a un terminal a un número diferente o solo cuando la línea está ocupada o no hay recepción.
Estos códigos comienzan con una estrella (*) o un símbolo de almohadilla (#). Se encuentran fácilmente y, según la investigación que hicimos, todos los principales operadores de redes móviles los admiten.
El investigador explica que el número de 10 dígitos pertenece al atacante y el código MMI delante de él le dice al operador de telefonía móvil que reenvíe todas las llamadas al número de teléfono especificado después cuando la línea de la víctima está ocupada.
Una vez que engañó a la víctima para que desviara las llamadas a su número, el atacante inicia el proceso de registro de WhatsApp en su dispositivo, eligiendo la opción de recibir la OTP a través de una llamada de voz.
Después de obtener el código OTP, el atacante puede registrar la cuenta de WhatsApp de la víctima en su dispositivo y habilitar la autenticación de dos factores (2FA), lo que evita que los propietarios legítimos recuperen el acceso.
Protegerse contra este tipo de ataques es tan fácil como activar la protección de autenticación de dos factores en WhatsApp. Esta función evita que los actores malintencionados obtengan el control de la cuenta al solicitar un PIN cada vez que registra un teléfono con la aplicación de mensajería.