近日，CloudSEK 創(chuàng)始人 Rahul Sasi警告稱，一個新的WhatsApp OTP 騙局正在被廣泛利用，攻擊者可以通過電話劫持用戶的賬戶。

整個攻擊過程極為簡單，攻擊者打電話給用戶，誘導(dǎo)他們撥打以405或67開頭的電話號碼。一旦接通后，只需要幾分鐘用戶就對賬戶失去了控制權(quán)，攻擊者將會接管他們的賬戶。聽起來這似乎有點不明所以，而Sasi也在Twitter 上解釋了整個攻擊場景，如下圖所示：

攻擊具體如何實現(xiàn)？

根據(jù) Sasi 的說法，攻擊者誘導(dǎo)用戶撥打的電話號碼是Jio 和 Airtel 在移動用戶忙時進(jìn)行呼叫轉(zhuǎn)移的服務(wù)請求。因此當(dāng)用戶撥打了號碼之后，實際上會轉(zhuǎn)移到攻擊者控制的號碼，并迅速啟動 WhatsApp 注冊過程以獲取受害者號碼，要求通過電話發(fā)送OPT。

由于電話正忙，電話被定向到攻擊者的電話，從而使他能夠控制受害者的 WhatsApp 帳戶。這就是攻擊者在注銷時獲得對受害者 WhatsApp 帳戶的控制權(quán)的方式。

盡管該騙局目前針對的是印度的 WhatsApp 用戶，但 Sasi 解釋說，如果黑客可以物理訪問手機(jī)并使用此技巧撥打電話，攻擊者可以破解任何人的 WhatsApp 帳戶。

由于每個國家和服務(wù)提供商使用的服務(wù)請求編號都有些相似，因此這個技巧可能會產(chǎn)生全球影響。保護(hù)自己的唯一方法是避免接聽來自未知號碼的電話，并且不要相信他們撥打陌生號碼。

WhatsApp多次遭攻擊

同樣是在2022年，安全研究人員發(fā)現(xiàn)，惡意攻擊者在釣魚活動中偽造了來自 WhatsApp 的語音信息通知，并且利用了合法的域名來傳播惡意軟件竊取信息。

云電子郵件安全公司 Armorblox 的研究人員發(fā)現(xiàn)了攻擊者針對 Office 365 和 Google Workspace 賬戶進(jìn)行攻擊的惡意活動，在該活動中使用了與道路安全中心相關(guān)的域名來發(fā)送電子郵件，經(jīng)調(diào)查該組織位于俄羅斯莫斯科地區(qū)。根據(jù)周二發(fā)表的一篇博客文章，該網(wǎng)站本身是合法的，它與莫斯科的國家道路安全有關(guān)，屬于俄羅斯聯(lián)邦內(nèi)政部。

研究人員說，到目前為止，攻擊者發(fā)送的郵件數(shù)量已經(jīng)達(dá)到了 27660 個，該攻擊活動通知受害者有一個來自 WhatsApp 聊天應(yīng)用程序的 " 新的私人語音郵件 "，并附加了一個鏈接，并聲稱允許他們播放該語音。研究人員說，攻擊的目標(biāo)組織包括醫(yī)療保健、教育和零售行業(yè)。

攻擊者的詐騙策略包括在那些發(fā)送的電子郵件中獲得用戶信任來進(jìn)行社會工程學(xué)攻擊；通過偽造 WhatsApp 合法品牌，利用合法的域名來發(fā)送電子郵件。