El robo de cuentas de WhatsApp de clientes de ciertas operadoras en España ha sido especialmente fácil hasta hace poco debido a la fragilidad del sistema de autentificación del buzón de voz. Lo que hace el atacante es instalar WhatsApp en su móvil, registrarse con el número de la víctima y pedir verificación por llamada telefónica. Esto lo hace en horario nocturno de forma que la llamada de verificación es atendida y grabada por el buzón de voz. Continúa en #1
Las marcas del Grupo MásMóvil permitían el acceso al buzón de voz sin necesidad de introducir el PIN cuando la llamada se originaba desde la línea del cliente. Por desgracia, este campo Caller ID es fácilmente manipulable, lo que se conoce como spoofear el número.
En el caso de Movistar los atacantes utilizan el canal de atención al cliente mediante WhatsApp para pedir que reseteen la clave del buzón de voz al código por defecto, 1234. Para ello solo se les pide el número de DNI y nombre completo del cliente, que previamente han obtenido de los muchos listados procedentes de filtraciones de datos personales de empresas.
La técnica del buzoneo ha dejado de ser útil a día de hoy. Ahora la llamada de WhatsApp requiere que el usuario pulse una tecla antes de que la locución diga el código de verificación. La tecla es distinta en cada ocasión, con el fin de que el atacante no pueda grabar el tono DTMF de la tecla en el mensaje del contestador.
Comentarios
Las marcas del Grupo MásMóvil permitían el acceso al buzón de voz sin necesidad de introducir el PIN cuando la llamada se originaba desde la línea del cliente. Por desgracia, este campo Caller ID es fácilmente manipulable, lo que se conoce como spoofear el número.
En el caso de Movistar los atacantes utilizan el canal de atención al cliente mediante WhatsApp para pedir que reseteen la clave del buzón de voz al código por defecto, 1234. Para ello solo se les pide el número de DNI y nombre completo del cliente, que previamente han obtenido de los muchos listados procedentes de filtraciones de datos personales de empresas.
La técnica del buzoneo ha dejado de ser útil a día de hoy. Ahora la llamada de WhatsApp requiere que el usuario pulse una tecla antes de que la locución diga el código de verificación. La tecla es distinta en cada ocasión, con el fin de que el atacante no pueda grabar el tono DTMF de la tecla en el mensaje del contestador.