مهاجمان از ویس ­میل برای سرقت حساب­ های کاربری واتس­ اپ استفاده می ­کنند

اولین بار هشدار وقوع چنین حملاتی در سال گذشته اعلام شد و اکنون به یک روال عادی برای مهاجمین تبدیل شده است. بنیاد این روش بر این اصل قرار گرفته که کاربران تمایلی به تغییر نام کاربری و رمز پیش ­فرض بر روی شماره ­های ویس ­میل تلفن­ های خود ندارند. مهاجم درخواستی مبنی بر ثبت شماره تلفن قربانی در اپلیکیشن واتس­ اپ را از تلفن خود ارسال می­ کند. بصورت پیش ­فرض، واتس­ اپ یک کد بازبینی 6 رقمی را از طریق SMS به تلفن قربانی ارسال می ­کند تا از اینکه شخص متقاضی همان کاربر واقعی است اطمینان حاصل کند.

بصورت ایده ­آل، قربانی پیام را مشاهده خواهد کرد و از اینکه اتفاقی در حال جریان است آگاه خواهد شد. برای جلوگیری از این مساله، مهاجم سعی خواهد کرد در زمان­ هایی مانند نیمه شب یا وقتی که تلفن غیر فعال است این حملات را انجام دهد، تا قربانی قادر به پاسخگویی نباشد. بسیاری از کاربران در نیمه شب تلفن خود را در حالت غیر فعال قرار می ­دهند.

از آنجا که مهاجم به تلفن قربانی دسترسی ندارد، قادر به دیدن کد ارسالی نخواهد بود. پس از آن، واتس ­اپ پیشنهاد برقراری تماس تلفن اتوماتیک گویا برای خواندن کد را به شماره تلفن کاربر مطرح می ­کند. با توجه به اینکه کاربر کماکان پاسخگو نیست، تماس اتوماتیک به سمت ویس ­میل هدایت می­ شود.

سپس مهاجم از یک خطای امنیتی در بسیاری از شبکه ­های موجود استفاده می ­کند که امکان برقراری تماس از خطوط معمولی برای دسترسی به صندوق صوتی را فراهم می­ آورد. تنها اطلاعات مورد نیاز برای دسترسی به صندوق، ورود یک کد چها رقمی است که اغلب سرویس دهندگان شبکه­ های تلفن همراه آن را بصورت پیش­فرض 0000 یا 1234 تعیین می کنند. رمزهای پیش ­فرض بسادگی در اینترنت یافت می­ شوند.

زمانی که مهاجم با استفاده از رمز پیش­ فرض وارد صندوق ویس­ میل قربانی می­ شود، کد را در آنجا شنیده، در دستگاه وارد می­ کند، و مراحل ثبت حساب کاربری قربانی را در دستگاه تلفن خود تکمیل می­ کند.

برای تضمین حفظ دسترسی در آینده، مهاجم سپس گزینه بررسی دومرحله­ ای را فعال می­ کند. این ویژگی یک انتخاب دلخواه است که از سال 2017 توسط واتس ­اپ ارائه شده است. در این ویژگی کاربر یک رمز ثابت تعیین می­ کند تا هرگاه که نیازمند ورود مجدد رمز بود، بتواند از آن استفاده کند. فعال­سازی این ویژگی، مانع از بازپس ­گیری مجدد حساب کاربری توسط صاحب اصلی شماره تلفن می­ شود.

محققی به نام مارتین ویگو نیز در کنفرانس DEF CON مدل گسترش یافته حملات پیام تلفنی خودکار را تحت عنوان “رخنه در حساب ­های کاربری آنلاین با نفوذ به سیستم ویس ­میل”  ارائه کرد. این محقق از حد شماره ­های PIN پیش ­فرض در ویس ­میل فراتر رفت و با استفاده از یک اسکریپت پایتون، یک حمله جستجوی فراگیر (brute force) را بر روی حساب ­های کاربری ویس­ میل با استفاده از API تلفنی مبتنی بر ابر، به نام Twilio اجرا کرد.

ویگو در طول ارائه با چندین سرویس آنلاین تماس گرفت و آسیب ­پذیر بودنشان را اثبات نمود. PayPal، Netflix، Instagram و LinkedIn از تنظیم مجدد (rest) رمز عبور با استفاده از تماس­ های تلفنی خودکار پشتیبانی می­ کنند و شرکت هایی مانند Apple، Google، Microsoft و Yahoo نیز خدمات ویس ­میل خودکار را برای احراز هویت دوعاملی ارائه می­ کنند. در یک پست بلاگ، ویگو تاکید کرد که کماکان تکنولوژی­ هایی با قدمت سی سال برای ایمن ­سازی سیستم ­های حساس استفاده می­ شوند.

چگونه می­ توان حساب­ های واتس ­اپ و دیگر حساب ­ها را از سرقت محافظت کرد؟

استفاده از احراز هویت دو عاملی نرم­ افزاری، همانند Sophos Authenticator که در امنیت موبایل­ های اندروید و iOS کاربرد دارد، ریسک را بطور چشمگیری کاهش می­ دهد. اینگونه اپلیکیشن­ های احراز هویت، متکی بر ارتباطات مبتنی بر شماره تلفن نیستند.

در صورتی که از خدمات مبتنی بر پیام­ های صوتی خودکار استفاده می ­کنید، از یک PIN قوی برای صندوق پستی خود استفاده کنید.

تاریخ: 8/10/2018 – 16/7/1397

منبع:  nakedsecurity.sophos.com

فهرست