Von der nachfolgend Vorgehensweise kann jeder WhatsApp Nutzer betroffen sein. Denn wie einfach es ist einen Nutzer des Messenger Dienstes auszusperren erläutern wir. Denn der Angreifer muss für dieses Vorgehen keine bestimmten Fähigkeiten oder Zugriff auf das Gerät des Opfers haben. Und wenn das Aussperren schon nicht genug wäre, kann man mit einem weiteren Schritt den Account des Nutzer komplett abmelden.
Einfach und effektiv
Die Vorgehensweise ist simpel: Denn alles was der Angreifer hierfür benötigt, ist die Nummer des Opfers und ein eigenes Gerät auf dem man die WhatsApp App installieren kann. Nach der Installation der App muss man sich für den Dienst anmelden. Hierfür gibt man einfach seine Nummer in die App ein. Der Server sendet dann eine Bestätigungs-SMS an die Nummer die in der App angegeben wurde. Normalerweise kann man dann seine Installation auf dem Smartphone sofort normal nutzen.
Normalerweise würde man bei anderen Angriffen jetzt versuchen an den Code in der Bestätigungs-SMS zu kommen. Doch bei diesem Angriff ist dies ja nicht das Ziel. Denn man möchte ja das Opfer aus dem WhatsApp Messenger aussperren und später sogar abmelden. Aus diesem Grund gibt man in die App immer wieder einen falschen Code ein. Zwar erhält man dann als Opfer immer wieder die SMS mit den neuen Codes auf seinem Smartphone. Doch niemand denkt direkt daran, dass dies auf einen Angriff hindeutet. Das Problem ist auch, dass sich dies nicht durch eine 2FA (2 Faktor Authentifizierung) unterbinden lässt. Auch das mehrmalige versenden der SMS lässt sich nicht einstellen bzw. abstellen.
Sicherheitsvorkehrungen bei WhatsApp gibt es nicht
Nachdem der Angreifer nun mehrmals in WhatsApp den falschen Code eingebeben hat, wird diese Funktion für 12 Stunden gesperrt. Dies wird in der App durch einen Countdown angezeigt. Dies kann dann 3 Mal hintereinander geschehen. Wobei der letzte Versuch nicht mit einem Countdown beginnt. Es werden weitere Anmeldeversuche ab sofort gesperrt. In einem weiteren Schritt kann der Angreifer nun auch den Account des Opfers nun komplett löschen. Mit einer beliebigen Email Adresse kann der Angreifer nun den Account des Opfers durch eine Automatisierung komplett löschen. Normalerweise wäre es nun zwar möglich das Gerät und den Account des Opfers nach der Deaktivierung wieder zu reaktivieren. In diesem Fall ist das allerdings nicht mehr möglich. Das Opfer ist somit komplett mit dem Account bzw. der Nummer gesperrt und abgemeldet.
[…] Funktion „Verifizierung in zwei Schritten“ ist beim WhatsApp Account nun eingerichtet. Muss man sich mit dem Account woanders nun neu registrieren, muss man vorher die […]