インドで携帯電話の着信転送サービスを悪用した WhatsApp アカウント乗っ取りが発生しているそうだ (HackRead の記事、 Rahul Sasi 氏のツイート)。

CloudSEK の Rahul Sasi 氏によれば、攻撃者はターゲットに電話をかけ、「**67*<10 桁の電話番号>」または「*405*<10 桁の電話番号>」に発信するよう説得するという。ターゲットがこれに従うと数分のうちに WhatsApp アプリはログアウト状態になり、攻撃者にアカウントを乗っ取られてしまう。

これらの番号はインドの携帯電話キャリアで<10 桁の電話番号>を転送先に指定し、話中時の転送設定を有効にするサービスコードだ。前者は Airtel と BSNL、Vi が使用し、後者は Jio Mobile が使用するもので、発信するだけで転送設定が有効化される。なお、Sasi 氏のツイートでは前者の末尾の「#」が抜けており、実際には「**67*<10桁の電話番号>#」となる。攻撃者は自分が受信可能な電話番号を転送先に指定する一方で、ターゲットの電話番号を指定して WhatsApp の登録プロセスを実行し、音声通話での確認コード送信を指定する。全着信の転送でなく話中時の転送を選ぶ理由や、確認コード送信時の話中を仮定する理由は不明だが、攻撃者は受け取った確認コードで WhatsApp アカウントの乗っ取りを完了できる。

Sasi 氏によれば、攻撃者がターゲットの端末を操作して発信可能な場合は直接転送先を指定することも可能であり、他国でも同様のサービスコードを使用するキャリアに適用可能とのこと。ただし、日本の携帯電話キャリアでは音声ガイダンスに従った操作が必要なものや、アカウントにログインした状態での操作が必要なものが多い。ドコモは端末によってサービスコードでの操作にも対応するが事前の申し込みが必要であり、事前の申し込みなく特番発信で転送先指定と転送の有効化が同時にできるのは au とその MVNO ぐらいのようだ。

すべて読む | セキュリティセクション | モバイル | セキュリティ | 通信 | 携帯電話 |

関連ストーリー：
本人よりも詐欺師の方が高い「秘密の質問」の正解率 2022年04月26日
iOS デバイスに詐欺アプリをインストールさせるさまざまな手法 2022年03月21日
Google、2段階認証の標準化によりアカウントの乗っ取り被害が50%減少 2022年02月15日
WhatsApp、米政府の命令で中国とマカオのユーザーを追跡していた 2022年01月22日
スイス軍、公務では国産のインスタントメッセージングアプリのみを使用するよう指示 2022年01月10日
乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 2021年11月28日
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 2021年07月25日
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日
WhatsApp、新プライバシーポリシーを承認しないユーザーのアカウントがどうなるか説明 2021年02月25日
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日
CIA局長の個人用アカウントに侵入したグループ、今度は米国家情報長官の個人用アカウントに侵入？ 2016年01月16日