近日，CloudSEK 創(chuàng)始人 Rahul Sasi警告稱，一個(gè)新的WhatsApp OTP 騙局正在被廣泛利用，攻擊者可以通過(guò)電話劫持用戶的賬戶。

整個(gè)攻擊過(guò)程極為簡(jiǎn)單，攻擊者打電話給用戶，誘導(dǎo)他們撥打以405或67開(kāi)頭的電話號(hào)碼。一旦接通后，只需要幾分鐘用戶就對(duì)賬戶失去了控制權(quán)，攻擊者將會(huì)接管他們的賬戶。聽(tīng)起來(lái)這似乎有點(diǎn)不明所以，而Sasi也在Twitter 上解釋了整個(gè)攻擊場(chǎng)景，如下圖所示：

攻擊具體如何實(shí)現(xiàn)？

根據(jù) Sasi 的說(shuō)法，攻擊者誘導(dǎo)用戶撥打的電話號(hào)碼是Jio 和 Airtel 在移動(dòng)用戶忙時(shí)進(jìn)行呼叫轉(zhuǎn)移的服務(wù)請(qǐng)求。因此當(dāng)用戶撥打了號(hào)碼之后，實(shí)際上會(huì)轉(zhuǎn)移到攻擊者控制的號(hào)碼，并迅速啟動(dòng) WhatsApp 注冊(cè)過(guò)程以獲取受害者號(hào)碼，要求通過(guò)電話發(fā)送OPT。

由于電話正忙，電話被定向到攻擊者的電話，從而使他能夠控制受害者的 WhatsApp 帳戶。這就是攻擊者在注銷時(shí)獲得對(duì)受害者 WhatsApp 帳戶的控制權(quán)的方式。

盡管該騙局目前針對(duì)的是印度的 WhatsApp 用戶，但 Sasi 解釋說(shuō)，如果黑客可以物理訪問(wèn)手機(jī)并使用此技巧撥打電話，攻擊者可以破解任何人的 WhatsApp 帳戶。

由于每個(gè)國(guó)家和服務(wù)提供商使用的服務(wù)請(qǐng)求編號(hào)都有些相似，因此這個(gè)技巧可能會(huì)產(chǎn)生全球影響。保護(hù)自己的唯一方法是避免接聽(tīng)來(lái)自未知號(hào)碼的電話，并且不要相信他們撥打陌生號(hào)碼。

WhatsApp多次遭攻擊

同樣是在2022年，安全研究人員發(fā)現(xiàn)，惡意攻擊者在釣魚(yú)活動(dòng)中偽造了來(lái)自 WhatsApp 的語(yǔ)音信息通知，并且利用了合法的域名來(lái)傳播惡意軟件竊取信息。

云電子郵件安全公司 Armorblox 的研究人員發(fā)現(xiàn)了攻擊者針對(duì) Office 365 和 Google Workspace 賬戶進(jìn)行攻擊的惡意活動(dòng)，在該活動(dòng)中使用了與道路安全中心相關(guān)的域名來(lái)發(fā)送電子郵件，經(jīng)調(diào)查該組織位于俄羅斯莫斯科地區(qū)。根據(jù)周二發(fā)表的一篇博客文章，該網(wǎng)站本身是合法的，它與莫斯科的國(guó)家道路安全有關(guān)，屬于俄羅斯聯(lián)邦內(nèi)政部。

研究人員說(shuō)，到目前為止，攻擊者發(fā)送的郵件數(shù)量已經(jīng)達(dá)到了 27660 個(gè)，該攻擊活動(dòng)通知受害者有一個(gè)來(lái)自 WhatsApp 聊天應(yīng)用程序的 " 新的私人語(yǔ)音郵件 "，并附加了一個(gè)鏈接，并聲稱允許他們播放該語(yǔ)音。研究人員說(shuō)，攻擊的目標(biāo)組織包括醫(yī)療保健、教育和零售行業(yè)。

攻擊者的詐騙策略包括在那些發(fā)送的電子郵件中獲得用戶信任來(lái)進(jìn)行社會(huì)工程學(xué)攻擊；通過(guò)偽造 WhatsApp 合法品牌，利用合法的域名來(lái)發(fā)送電子郵件。