MMI

Ada trik yang memungkinkan penyerang untuk membajak akun WhatsApp korban dan mendapatkan akses ke pesan pribadi dan daftar kontak.

Metode ini bergantung pada layanan otomatis operator seluler untuk meneruskan panggilan ke nomor telepon yang berbeda, dan opsi WhatsApp untuk mengirim kode verifikasi kata sandi satu kali (OTP) melalui panggilan suara.

Rahul Sasi, pendiri dan CEO perusahaan perlindungan risiko digital CloudSEK, memposting beberapa detail tentang metode yang digunakan untuk meretas akun WhatsApp..

Hanya butuh beberapa menit bagi penyerang untuk mengambil alih akun WhatsApp korban, tetapi mereka perlu mengetahui nomor telepon target dan bersiap untuk melakukan beberapa rekayasa sosial.

Sasi mengatakan bahwa penyerang pertama-tama perlu meyakinkan korban untuk melakukan panggilan ke nomor yang dimulai dengan kode Man Machine Interface (MMI) yang diatur oleh operator seluler untuk mengaktifkan penerusan panggilan.

Tergantung pada operatornya, kode MMI yang berbeda dapat meneruskan semua panggilan ke terminal ke nomor yang berbeda atau hanya ketika saluran sedang sibuk atau tidak ada penerimaan.

Kode-kode ini dimulai dengan simbol bintang (*) atau tanda pagar (#). Mereka mudah ditemukan dan dari penelitian yang kami lakukan, semua operator jaringan seluler besar mendukungnya.

Peneliti menjelaskan bahwa 10 digit nomor adalah milik penyerang dan kode MMI di depannya memberitahu operator seluler untuk meneruskan semua panggilan ke nomor telepon yang ditentukan setelahnya ketika saluran korban sibuk.

Begitu mereka menipu korban untuk meneruskan panggilan ke nomor mereka, penyerang memulai proses pendaftaran WhatsApp di perangkat mereka, memilih opsi untuk menerima OTP melalui panggilan suara.

WhatsApp mengirimkan kode OTP melalui teks atau panggilan suara
Opsi WhatsApp untuk menerima kata sandi satu kali, sumber: BleepingComputer

Setelah mereka mendapatkan kode OTP, penyerang dapat mendaftarkan akun WhatsApp korban di perangkat mereka dan mengaktifkan otentikasi dua faktor (2FA), yang mencegah pemilik sah mendapatkan kembali akses.

Meskipun metodenya tampak sederhana, membuatnya bekerja membutuhkan sedikit lebih banyak usaha, seperti yang ditemukan BleepingComputer selama pengujian.

Pertama, penyerang perlu memastikan bahwa mereka menggunakan kode MMI yang meneruskan semua panggilan, terlepas dari status perangkat korban (tanpa syarat). Misalnya, jika MMI hanya meneruskan panggilan saat saluran sedang sibuk, panggilan tunggu dapat menyebabkan pembajakan gagal.

Selama pengujian, BleepingComputer memperhatikan bahwa perangkat target juga menerima pesan teks yang menginformasikan bahwa WhatsApp sedang terdaftar di perangkat lain.

Pengguna mungkin melewatkan peringatan ini jika penyerang juga beralih ke manipulasi psikologis dan melibatkan target dalam panggilan telepon cukup lama untuk menerima kode OTP WhatsApp melalui suara.

Jika penerusan panggilan telah diaktifkan pada perangkat korban, penyerang harus menggunakan nomor telepon yang berbeda dari yang digunakan untuk pengalihan – ketidaknyamanan kecil yang mungkin memerlukan lebih banyak rekayasa sosial.

Petunjuk paling jelas tentang aktivitas mencurigakan bagi pengguna target terjadi setelah operator seluler mengaktifkan penerusan panggilan untuk perangkat mereka, karena aktivasi disertai dengan peringatan yang dihamparkan di layar yang tidak akan hilang hingga pengguna mengonfirmasikannya.

Peringatan operator seluler tentang aktivasi penerusan panggilan
Operator seluler memperingatkan pengguna saat penerusan panggilan menjadi aktif, sumber: BleepingComputer

Bahkan dengan peringatan yang sangat terlihat ini, pelaku ancaman masih memiliki peluang sukses yang baik karena sebagian besar pengguna tidak terbiasa dengan kode MMI atau pengaturan ponsel yang menonaktifkan penerusan panggilan.

Terlepas dari hambatan ini, pelaku kejahatan dengan keterampilan rekayasa sosial yang baik dapat merancang skenario yang memungkinkan mereka membuat korban sibuk di telepon sampai mereka mendapatkan kode OTP untuk mendaftarkan akun WhatsApp korban di perangkat mereka.

Postingan Sasi mengacu pada operator seluler Airtel dan Jio, masing-masing dengan lebih dari 400 juta pelanggan pada Desember 2020, menurut data publik.

Melindungi dari serangan jenis ini semudah mengaktifkan perlindungan otentikasi dua faktor di WhatsApp. Fitur ini mencegah pelaku jahat mendapatkan kendali atas akun dengan meminta PIN setiap kali Anda mendaftarkan ponsel ke aplikasi perpesanan.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

MMI

Cookies Settings