Sebbene l’espediente sia in sé piuttosto semplice, è difficile che gli utenti più esperti cadano nella trappola. Purtuttavia riteniamo importante parlare di un trucco svelato da Rahul Sasi, fondatore e CEO di CloudSEK, che viene già utilizzato per rubare account WhatsApp sottraendo anche il contenuto delle chat, degli allegati e la lista dei contatti altrui.
Sasi ha spiegato che utilizzando un po’ di ingegneria sociale, un aggressore può invitare la vittima a chiamare un numero di telefono che inizia con * o #. Ricordiamo che con questi due simboli si possono invocare i codici MMI (Man Machine Interface): si tratta di “scorciatoie” che, sotto forma di numeri brevi, possono essere inviate all’operatore di telecomunicazioni mobile per attivare o disattivare servizi oppure per consultarne lo stato.
Ogni operatore utilizza dei codici MMI che permettono di attivare la deviazione delle chiamate quando l’utenza in uso fosse irraggiungibile oppure risultasse occupata in altra conversazione.
Se l’utente, magari poco pratico con l’uso dei codici MMI, effettuasse una chiamata usando il numero fornito dal malintenzionato, questi potrebbe di fatto attivare un inoltro di tutte le chiamate in arrivo verso una numerazione che non è più sotto il suo controllo.
L’utente interessato a mettere le mani sui dati WhatsApp altrui può usare codici come **67* o *405* seguiti da un numero telefonico da lui gestito per indurre la vittima a richiedere la deviazione delle chiamate verso tale numerazione.
A questo punto il criminale dovrebbe semplicemente richiedere l’attivazione di WhatsApp sul nuovo numero e attivare l’autenticazione a due fattori in modo che il legittimo proprietario dell’account non possa più accedervi. Utilizzando la voce Chiamami nella schermata di autenticazione di WhatsApp l’aggressore riceve infatti il codice di verifica sul suo numero di telefono, proprio in forza della deviazione precedentemente impostata.
Va detto che si tratta di un attacco estremamente “rumoroso”: la vittima deve comunque chiamare un numero che inizia per * e #; al momento dell’attivazione dell’inoltro di tutte le chiamate lo smartphone mostra comunque un avviso sul quale è necessario premere OK per proseguire.
Per proteggersi da questo tipo di attacchi è bene non dare mai credito al contenuto di messaggi che invitano a effettuare chiamate a numerazioni arbitrarie, comprendere il meccanismo di funzionamento dei codici MMI e soprattutto attivare l’autenticazione a due fattori su WhatsApp così da scongiurare qualunque trucchetto da parte di soggetti terzi.