Nieuwe aanvalsgolf richt zich op overnemen WhatsApp-accounts

De Israëlische autoriteiten melden dat er een nieuwe golf van hacks gericht op WhatsApp-accounts is. Die zou gekoppeld zijn aan het hacken van voicemail. De Israel National Cyber Security Authority heeft een bericht verspreid waarin het hierover schrijft.

In de alert, die ontdekt werd door ZDNet en op de site van Scribd te vinden valt, wordt geschreven over een relatief nieuwe manier om WhatsApp-accounts te hacken via de voicemailsystemen van telecomproviders. De methode werd vorig jaar ontdekt door Ran Bar-Zik, een ontwikkelaar die voor Oath werkt.

Wachtwoord wijzigen

Het idee is dat gebruikers die een voicemailaccount hebben voor hun telefoonnummer, risico lopen als ze het standaardwachtwoord van die account niet veranderen. Dat standaardwachtwoord is meestal 0000 of 1234, waarmee het kraken ervan heel eenvoudig is. De aanvaller maakt hier gebruik van om een legitiem telefoonnummer toe te voegen aan een nieuwe WhatsApp-installatie op zijn eigen telefoon.

WhatsApp stuurt dan automatisch een eenmalige inlogcode. Maar als die code meermaals niet is aangekomen, stuurt de dienst een gesproken code naar de gebruiker. Die code komt in de vorm van een telefoongesprek. Als de aanvaller dat goed weet te timen, kan de eigenaar van het nummer niet opnemen en komt de code in de voicemail terecht. Vervolgens kan de aanvaller de voicemail afluisteren en die code invoeren om WhatsApp over te nemen.

Zodra de hacker toegang heeft tot de WhatsApp-account, kan deze tweestapsverificatie instellen. Daarna is het ineens niet meer mogelijk voor de legitieme eigenaar van de account om deze weer terug te nemen. Daarvoor is een zes cijfers tellende code nodig die alleen de aanvaller heeft.

Voor de aanval zijn geen technische vaardigheden nodig, waarmee de Israëlische autoriteiten vrezen voor brede aanvallen. Het wordt gebruikers dan ook aangeraden om een sterk wachtwoord te gebruiken voor hun WhatsApp. “Het is een erg bekend probleem, maar ik denk niet dat het met Facebook te maken heeft, eerder met de zwakke beveiliging van de voicemail”, aldus Bar-Zik. Telecomproviders zouden geen standaardwachtwoord moeten instellen, maar direct bij eerste gebruik de gebruiker moeten verplichten hun voicemailwachtwoord aan te passen.