Dijital risk müdafaa şirketi CloudSEK’in kurucusu ve CEO’su Rahul Sasi kimi taşınabilir hizmetlerin sunduğu otomatik Bostancı Escort davet yönlendirmeyi ve sesli arama yoluyla tek seferlik parola OTP doğrulama kodu gönderme seçeneğini kullanan bir saldırganın neredeyse tüm WhatsApp hesaplarını ele geçirebileceğini keşfettiğini açıkladı
Saldırıyı başarılı bir formda gerçekleştirmek Ümraniye Escort için korsanın evvel kurbanı İnsan Makine Arayüzü MMI koduyla başlayan bir numarayı aramaya ikna etmesi gerekiyor Bu numara çoklukla taşınabilir operatör tarafından ayarlanıyor ve arama iletmeyi aktifleştirmek için kullanılıyor
Numara Anadolu Yakası Escort çoklukla bir yıldız yahut kare sembolü ile başlıyor Bu kodlar kolay kolay bulunuyor ve büyük taşınabilir ağ operatörlerinin birçok bunları destekliyor
Bu numarayı aramak gelecekteki tüm aramaları saldırganın sahip olduğu uç noktaya iletiyor Bundan sonra saldırgan kendi aygıtında WhatsApp kayıt sürecini başlatabileceği ve sesli arama yoluyla OTP’yi alabileceği için süreç nispeten kolaylaşıyor
Bunu test eden BleepingComputer birkaç ihtarla birlikte genel olarak işe yaradığını söylüyor Birinci olarak saldırganın sadece çizgi meşgulken yapılan aramaları değil tüm aramaları ileten bir MMI kodu kullanması için kurbanı kandırması gerekiyor Akabinde kurbanın WhatsApp uygulamasının öteki bir aygıta kaydedildiğini bildiren kısa iletisi kaçıracak kadar uzun müddet meşgul olduğundan emin olmaları gerekiyor Ayrıyeten kurban zati davet yönlendirmeyi etkinleştirmişse saldırganlar daha fazla toplumsal mühendislik gerektirebilecek küçük bir rahatsızlık olan farklı bir telefon numarası kullanmalı Yayın yolun Verizon ve Vodafone üzerinde çalıştığını doğruladı