パスワードを忘れた? アカウント作成
15688327 story
携帯電話

着信転送サービスを悪用した WhatsApp アカウント乗っ取り、日本では大丈夫か 6

ストーリー by headless
転送 部門より
インドで携帯電話の着信転送サービスを悪用した WhatsApp アカウント乗っ取りが発生しているそうだ (HackRead の記事Rahul Sasi 氏のツイート)。

CloudSEK の Rahul Sasi 氏によれば、攻撃者はターゲットに電話をかけ、「**67*<10 桁の電話番号>」または「*405*<10 桁の電話番号>」に発信するよう説得するという。ターゲットがこれに従うと数分のうちに WhatsApp アプリはログアウト状態になり、攻撃者にアカウントを乗っ取られてしまう。

これらの番号はインドの携帯電話キャリアで<10 桁の電話番号>を転送先に指定し、話中時の転送設定を有効にするサービスコードだ。前者は AirtelBSNLVi が使用し、後者は Jio Mobile が使用するもので、発信するだけで転送設定が有効化される。なお、Sasi 氏のツイートでは前者の末尾の「#」が抜けており、実際には「**67*<10桁の電話番号>#」となる。攻撃者は自分が受信可能な電話番号を転送先に指定する一方で、ターゲットの電話番号を指定して WhatsApp の登録プロセスを実行し、音声通話での確認コード送信を指定する。全着信の転送でなく話中時の転送を選ぶ理由や、確認コード送信時の話中を仮定する理由は不明だが、攻撃者は受け取った確認コードで WhatsApp アカウントの乗っ取りを完了できる。

Sasi 氏によれば、攻撃者がターゲットの端末を操作して発信可能な場合は直接転送先を指定することも可能であり、他国でも同様のサービスコードを使用するキャリアに適用可能とのこと。ただし、日本の携帯電話キャリアでは音声ガイダンス従った操作が必要なものや、アカウントにログインした状態での操作が必要なものが多い。ドコモは端末によってサービスコードでの操作にも対応するが事前の申し込みが必要であり、事前の申し込みなく特番発信で転送先指定と転送の有効化が同時にできるのは au とその MVNO ぐらいのようだ。
  • by Anonymous Coward on 2022年06月06日 5時03分 (#4262929)

    > 発信するよう説得する
    これができるくらいなら口座の情報だろうとクレカの情報だろうといくらでもひきだせるんじゃないかとおもってしまう。

    ここに返信
  • by Anonymous Coward on 2022年06月05日 10時44分 (#4262634)

    全部転送だとすぐに気づかれるかもしれないし、話中だけにして、もう一度かけ直して足止めできればいいのでは。

    でも、転送設定します見たいにアナウンス流れたときにはすでに遅しなのかな。

    ここに返信
  • by Anonymous Coward on 2022年06月05日 10時45分 (#4262635)

    WhatsAppのユーザーなんているの? (暴言)
    LINEは同様の手口で乗っ取れないのか、という方向で心配したほうがよさそう。IINEでも音声通話による認証ができるみたいだけど

    ここに返信
  • by Anonymous Coward on 2022年06月05日 16時28分 (#4262707)

    オレオレ詐欺を連想させる話だな。
    そして「ATMでは現金は受け取れません」と警告が貼ってあるけど、
    「セブン銀行のATM」は「SMSで受信した番号を入力すると現金を受け取れる」んだよね…

    ここに返信
    • by Anonymous Coward

      ふと思ったけど、ATM廃止してCDに戻せばいいんじゃないのかな。
      振り込め詐欺引っかかるような年代以外は、ネットバンキングにしてもらうということで。
      いずれATMのトレード機能の利用率が低下して、ほっといても、そうなるかもしれないけど。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...