インドで携帯電話の着信転送サービスを悪用した WhatsApp アカウント乗っ取りが発生しているそうだ (HackRead の記事、 Rahul Sasi 氏のツイート)。

CloudSEK の Rahul Sasi 氏によれば、攻撃者はターゲットに電話をかけ、「**67*<10 桁の電話番号>」または「*405*<10 桁の電話番号>」に発信するよう説得するという。ターゲットがこれに従うと数分のうちに WhatsApp アプリはログアウト状態になり、攻撃者にアカウントを乗っ取られてしまう。

これらの番号はインドの携帯電話キャリアで<10 桁の電話番号>を転送先に指定し、話中時の転送設定を有効にするサービスコードだ。前者は Airtel と BSNL、Vi が使用し、後者は Jio Mobile が使用するもので、発信するだけで転送設定が有効化される。なお、Sasi 氏のツイートでは前者の末尾の「#」が抜けており、実際には「**67*<10桁の電話番号>#」となる。攻撃者は自分が受信可能な電話番号を転送先に指定する一方で、ターゲットの電話番号を指定して WhatsApp の登録プロセスを実行し、音声通話での確認コード送信を指定する。全着信の転送でなく話中時の転送を選ぶ理由や、確認コード送信時の話中を仮定する理由は不明だが、攻撃者は受け取った確認コードで WhatsApp アカウントの乗っ取りを完了できる。

Sasi 氏によれば、攻撃者がターゲットの端末を操作して発信可能な場合は直接転送先を指定することも可能であり、他国でも同様のサービスコードを使用するキャリアに適用可能とのこと。ただし、日本の携帯電話キャリアでは音声ガイダンスに従った操作が必要なものや、アカウントにログインした状態での操作が必要なものが多い。ドコモは端末によってサービスコードでの操作にも対応するが事前の申し込みが必要であり、事前の申し込みなく特番発信で転送先指定と転送の有効化が同時にできるのは au とその MVNO ぐらいのようだ。