Los atacantes utilizan el hack del correo de voz para robar las cuentas de WhatsApp
Ha surgido otro ataque de secuestro de cuentas en línea, esta vez dirigido a WhatsApp. La agencia israelí responsable de la ciberseguridad ha advertido a sus ciudadanos sobre el ataque, que a menudo puede llevarse a cabo sin ningún conocimiento o interacción de su parte. Todo lo que necesita el atacante es el número de teléfono de la víctima.Primero documentado por investigadores de seguridad el año pasado, la falla de seguridad ahora ha llegado a la corriente principal. La semana pasada, ZDNet informó que la Autoridad Nacional de Ciberseguridad de Israel emitió una alerta de que los usuarios de WhatsApp podrían perder el control de sus cuentas.El truco aprovecha la tendencia de los usuarios a no cambiar las credenciales de acceso predeterminadas en los números de correo de voz del teléfono móvil. El atacante hace una solicitud para registrar el número de teléfono de la víctima en la aplicación WhatsApp en su propio teléfono. De forma predeterminada, WhatsApp envía un código de verificación de seis dígitos en un mensaje de texto SMS al número de teléfono de la víctima, para verificar que la persona que realiza la solicitud lo posee.Lo ideal sería que la víctima viera el mensaje, alertándoles de que algo estaba pasando. El atacante evita eso al lanzar el ataque en un momento en que la víctima no contesta su teléfono, como en medio de la noche, o mientras está en un vuelo. Muchos usuarios pueden incluso tener sus teléfonos configurados para "no molestar" durante este tiempo.
El atacante no tiene acceso al teléfono de la víctima, por lo que no puede ver el código para ingresarlo. WhatsApp luego ofrece llamar al número de la víctima con un mensaje telefónico automatizado que lee el código. Debido a que la víctima no acepta llamadas, el mensaje automatizado se deja como un correo de voz.Luego, el atacante explota una falla de seguridad en muchas redes de operadores, que proporcionan números de teléfono genéricos a los que los usuarios pueden llamar para acceder al correo de voz. La única credencial requerida para escuchar el correo de voz es un PIN de cuatro dígitos, y muchos operadores lo configuran de forma predeterminada como algo simple, como 0000 o 1234. Estas contraseñas predeterminadas se descubren fácilmente en línea.Cuando el atacante usa el PIN predeterminado para acceder al correo de voz de la víctima, puede escuchar el código y luego ingresarlo en su propio dispositivo, completando la transferencia del número de teléfono de la víctima a su propia cuenta de WhatsApp.Para cerrar el trato, el atacante puede habilitar la verificación en dos pasos, que es una función opcional que WhatsApp ha estado ofreciendo desde 2017. Esto requiere que el usuario establezca un PIN personalizado, que luego debe volver a ingresar si desean volver a verificar su número de teléfono. Activar esta función evita que la víctima recupere el control sobre su propio número de teléfono.
El investigador de seguridad Martin Vigo exploró y amplió los ataques automáticos de mensajes telefónicos en una charla en la DEF CON este agosto titulada "Comprometer las cuentas en línea al romper los sistemas de correo de voz". Fue más allá de los simples PIN predeterminados del correo de voz, utilizando un script de Python que forzaba las cuentas de correo de voz mediante la API de telefonía basada en la nube Twilio.
Durante la charla, llamó a varios servicios en línea que, según dijo, eran vulnerables a ataques como este. PayPal, Netflix, Instagram y LinkedIn admitieron el restablecimiento de contraseña mediante una llamada telefónica automatizada, dijo, y agregó que Apple, Google, Microsoft y Yahoo admiten el uso de correos de voz automatizados para la autenticación de dos factores (2FA).
En una publicación del blog que describía la charla, lamentó el hecho de que todavía estamos usando tecnologías de hace 30 años para proteger sistemas sensibles.
Durante la charla, llamó a varios servicios en línea que, según dijo, eran vulnerables a ataques como este. PayPal, Netflix, Instagram y LinkedIn admitieron el restablecimiento de contraseña mediante una llamada telefónica automatizada, dijo, y agregó que Apple, Google, Microsoft y Yahoo admiten el uso de correos de voz automatizados para la autenticación de dos factores (2FA).
En una publicación del blog que describía la charla, lamentó el hecho de que todavía estamos usando tecnologías de hace 30 años para proteger sistemas sensibles.
¿Cómo puedes proteger tu WhatsApp y otras cuentas de los secuestradores?
El uso de 2FA basado en aplicaciones (como Sophos Authenticator, que también se incluye en nuestro programa gratuito Sophos Mobile Security para Android e iOS) mitiga gran parte del riesgo, ya que estas aplicaciones de autenticación móvil no dependen de las comunicaciones relacionadas con los números de teléfono.
Si debe usar un servicio que se basa en mensajes de voz automatizados, establezca un PIN seguro para la bandeja de entrada de su correo de voz.
Finalmente, habilite la verificación de dos pasos en su cuenta de WhatsApp, abriendo WhatsApp y vaya a Configuración> Cuenta> Verificación de dos pasos> Habilitar.
Fuente: https://nakedsecurity.sophos.com/
El uso de 2FA basado en aplicaciones (como Sophos Authenticator, que también se incluye en nuestro programa gratuito Sophos Mobile Security para Android e iOS) mitiga gran parte del riesgo, ya que estas aplicaciones de autenticación móvil no dependen de las comunicaciones relacionadas con los números de teléfono.
Si debe usar un servicio que se basa en mensajes de voz automatizados, establezca un PIN seguro para la bandeja de entrada de su correo de voz.
Finalmente, habilite la verificación de dos pasos en su cuenta de WhatsApp, abriendo WhatsApp y vaya a Configuración> Cuenta> Verificación de dos pasos> Habilitar.
Fuente: https://nakedsecurity.sophos.com/