WhatsApp: trik z kodami MMI pozwala przejąć konto

Strona głównaWhatsApp: trik z kodami MMI pozwala przejąć konto
02.06.2022 13:38
WhatsApp
WhatsApp
Źródło zdjęć: © GETTY | NurPhoto

Użytkownicy WhatsAppa powinni być wyczuleni na kolejną formę ataku, w której ktoś próbuje przejąć ich konto do komunikatora. W sieci można trafić na opis świeżego patentu polegającego na wykorzystaniu kodów MMI i nieświadomej aktywacji przekierowania połączeń przez ofiarę.

Szczegóły opisuje Bleeping Computer. Atak działa analogicznie do popularnego także w naszym kraju przejmowania kont z WhatsAppa poprzez wyłudzanie 6-cyfrowego kodu uwierzytelniającego użytkownika. Tutaj jest podobnie, ale proces jest w pewnym sensie zautomatyzowany - atakujący zaczyna od nakłonienia ofiary do wprowadzenia odpowiedniego ciągu znaków w telefonie, by zmienić ustawienia połączeń.

Wykorzystywany jest przy tym jeden z tzw. kodów MMI, dzięki którym można modyfikować i sprawdzać stan części ustawień w smartfonach. W tym przypadku chodzi o skonfigurowanie przekierowania połączeń na numer telefonu atakującego tak, by dzwoniący do ofiary w rzeczywistości dodzwaniali się do oszusta. Później atakujący podejmuje próbę aktywacji WhatsAppa na numer ofiary i wybiera opcję odsłuchania jednorazowego hasła zamiast przesłania kodu SMS-em.

Automat WhatsAppa dzwoni więc do ofiary, ale z uwagi na skonfigurowane przekierowanie połączeń - w praktyce dodzwania się do atakującego. Ciąg dalszy to tylko kwestia wprowadzenia odsłuchanego kodu do aplikacji. WhatsApp uruchomi się w telefonie i atakujący zyska możliwość odczytywania nowych wiadomości od znajomych ofiary i siłą rzeczy - podszywania się pod nią.

Bleeping Computer dodaje, że popularnym patentem jest też szybkie ustawienie weryfikacji dwuetapowej przez atakującego, przez co ofiara w praktyce nie odzyska już dostępu do swojego konta. Zagadką pozostaje natomiast kwestia namowy ofiary na wprowadzenie odpowiedniego kodu MMI w telefonie. Tutaj konieczna jest właściwa socjotechnika, ale skoro oszuści mają swoje sposoby w przypadku SMS-owej wersji tego oszustwa, zapewne na odpowiednie "połączenie" też da się niektórych namówić.

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl

Jesteś świadkiem próby oszustwa?Poinformuj nas o tym zdarzeniu!

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (6)