Una società di protezione dai rischi digitali ha scoperto una nuova vulnerabilità della app di Meta che i malintenzionati possono sfruttare per assumere il controllo dell’account Whatsapp di un utente ignaro.
Il processo richiede l’uso dell’ingegneria sociale, compreso lo squillo alla vittima, e fa leva sul fatto che l’utente medio di Whatsapp non ha familiarità con i codici MMI.
Il nuovo attacco è un altro esempio del perché gli utenti di WhatsApp devono prendere sul serio la sicurezza, dopo una precedente minaccia da parte di hacker russi.
Quanto è pericoloso?
Questo attacco, scoperto per la prima volta da Rahul Sasi, CEO di CloudSEK, è facilitato da due fattori tecnici.
In primo luogo, il servizio fornito da molti operatori di telefonia mobile che consente di inoltrare le chiamate a un numero diverso è automatizzato. In secondo luogo, Whatsapp consente agli utenti di inviare un codice di verifica della casella vocale una tantum.
Secondo Sasi, “entro pochi minuti” dall’inizio del processo, “il vostro WhatsApp verrebbe disconnesso e gli aggressori otterrebbero il controllo completo del vostro account“.
Vuoi ricevere le ultime notizie tecnologiche direttamente nella tua casella di posta?
L’attore malintenzionato avrà bisogno del numero di telefono dell’obiettivo e di alcune significative abilità di social engineering per funzionare.
Come funziona l’hack
L’attore malintenzionato deve innanzitutto convincere la vittima a chiamare un numero che inizia con un codice MMI (Man-Machine-Interface). Si tratta di codici che spesso iniziano con “#” o “*”.
Quando la vittima chiama il numero, il codice MMI impone al gestore di telefonia mobile di inoltrare tutte le chiamate al numero dell’hacker sulla linea telefonica dell’obiettivo. Tuttavia, l’hacker deve assicurarsi di utilizzare un codice MMI che inoltri automaticamente ogni chiamata, non solo quando la linea è occupata.
Esistono diversi tipi di codici MMI, ma spesso vengono utilizzati dagli operatori telefonici per facilitare ai clienti il controllo del saldo, il reset del dispositivo o l’inoltro delle chiamate.
Ora che la vittima è stata indotta a reindirizzare le chiamate al numero dell’hacker, quest’ultimo avvia il processo di registrazione, che include l’opzione “password unica tramite chiamata vocale“.
Con questo codice, può quindi impostare l’account WhatsApp dell’obiettivo sul suo dispositivo. È probabile che la vittima riceva una notifica WhatsApp che la informa di aver effettuato l’accesso su un altro dispositivo, ma questo potrebbe essere facilmente ignorato se l’hacker chiama la vittima e si intrattiene con lei in una conversazione.
Come si può evitare l’hacking di WhatsApp?
C’è un modo semplice per assicurarsi che questo non accada mai: attivare l’autenticazione a due fattori (2FA) in WhatsApp. L’hacker, in questo caso, non avrebbe bisogno solo del vostro numero di telefono, ma anche di un pin di sicurezza, rendendo obsoleta l’attuale iterazione dell’hack.
È sempre importante utilizzare le tecnologie che possono realmente ridurre le possibilità di essere violati, come i gestori di password e le VPN. Ma l’educazione è altrettanto importante. Ci sono migliaia, se non milioni, di persone che hanno un account presso servizi che prevedono la 2FA, ma non la attivano.
La 2FA è un secondo livello di sicurezza dell’account semplice e facile da implementare, che potrebbe salvarvi la pelle se un hacker vi prende di mira con una truffa come questa. In definitiva, è meglio essere sicuri che dispiaciuti, quindi attivate la 2FA su WhatApp il prima possibile.
La 2FA è meglio di nessuna 2FA, naturalmente, ma la truffa di cui sopra è una prova del fatto che gli operatori di telefonia mobile sono facili da sfruttare. Se potete, scaricate un’app di autenticazione e utilizzate quella per ricevere i codici.
