BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Así han estado robando cuentas WhatsApp de clientes de operadoras en España con la técnica del buzoneo

Joshua Llorach
Whatsapp

El robo de cuentas de WhatsApp de clientes de ciertas operadoras en España ha sido especialmente fácil hasta hace poco debido a la fragilidad del sistema de autentificación del buzón de voz. Esta es la solución que ha puesto WhatsApp para evitar la técnica del buzoneo.

El cibercrimen es una industria

Un cibercriminal ya no es un lobo solitario utilizando sus conocimientos para conseguir ilegalmente un dinero extra. Hay toda una industria profesionalizada gestionada por mafias que se dedica a explotar sistemáticamente las vulnerabilidades de los sistemas y la ingenuidad de la gente. En algunos casos hay regiones enteras en países menos desarrollados donde esta actividad se ha convertido en una importante fuente de ingresos1, por lo que el problema solo puede ir a más.

La popularidad de la app de mensajería WhatsApp la hace un medio ideal para llegar a nuevas víctimas. Hace ahora un año aparecía a la venta en un conocido foro sobre piratería una base de datos que contenía las credenciales de casi 11 millones de cuentas de WhatsApp1 de números de teléfono españoles. Aunque se sospecha que los datos se obtuvieron mediante la extracción automatizada desde alguna URL que Meta no tenía debidamente protegida, lo cierto es que a día de hoy sigue siendo un misterio de dónde salió esta información.

Cómo funciona el método del buzoneo

Una forma de robar cuentas de WhatsApp que ha funcionado hasta hace poco ha sido mediante la técnica del buzoneo. Consiste en usar el buzón de voz del número de teléfono de la víctima para obtener el número de verificación que manda WhatsApp y robar su cuenta.

Al configurar WhatsApp por primera vez en un móvil, se envía un SMS con un código de verificación para confirmar que el usuario realmente tiene acceso a la línea que ha indicado y no es la de otra persona. Como alternativa al SMS, WhatsApp ofrece hacer una llamada telefónica en la que una locución facilita el código.

Lo que hace el atacante es instalar WhatsApp en su móvil, registrarse con el número de la víctima y pedir verificación por llamada telefónica. Esto lo hace en horario nocturno, cuando el verdadero titular no va a atender la llamada, de forma que la llamada de verificación es atendida y grabada por el buzón de voz.

En este punto te preguntarás ¿cómo sabe el atacante que el buzón está activo y cómo accede a la grabación? Hay que recordar que el acceso al buzón de voz está protegido por un código PIN de 4 cifras. Aunque la técnica del buzoneo era conocida, no estaba claro cómo el atacante conseguía acceder al buzón. Ahora sabemos que algunas operadoras España lo han estado poniendo muy fácil.

MásMóvil verificaba el acceso al buzón por el Caller ID

En este vídeo puedes ver cómo el atacante accede a un buzón de voz de Yoigo marcando el 633633633 y a continuación el número de la víctima con su PIN para escuchar los mensajes. En el texto del vídeo explica cómo ha conseguido el acceso a la línea.

Tienes que acceder con spoof llamando al +34 633 633 633 para configurar PIN por primera vez.

Hasta hace pocos meses, las marcas del Grupo MásMóvil permitían el acceso al buzón de voz sin necesidad de introducir el PIN cuando la llamada se originaba desde la línea del cliente. La forma de autentificar al usuario era comprobando que la identificador de llamada correspondía con el número del cliente. Por desgracia, este campo Caller ID es fácilmente manipulable, lo que se conoce como spoofear el número.

Caller ID CLI spoofing
Manipulación del CLI con una centralita virtual y un troncal SIP

El usuario @Tinkinaz304 nos cuenta que él mismo avisó a los responsables de la operadora de este fallo y tras un mes le dieron solución, por lo que a día de hoy los clientes de MásMóvil están protegidos.

Movistar permite resetear la clave del buzón por WhatsApp

Los clientes de Movistar también han estado afectados por este problema. Como se puede ver en este otro vídeo, en su caso los atacantes utilizan el canal de atención al cliente mediante WhatsApp para pedir que reseteen la clave del buzón de voz al código por defecto, 1234. Para ello solo se les pide el número de DNI y nombre completo del cliente, que previamente han obtenido de los muchos listados procedentes de filtraciones de datos personales de empresas.

Qué ha hecho WhatsApp para frenar el buzoneo

La técnica del buzoneo ha dejado de ser útil a día de hoy. Han sido tantos los afectados que WhatsApp ha introducido una sencilla pero efectiva medida. Ahora la llamada de WhatsApp requiere que el usuario pulse una tecla antes de que la locución diga el código de verificación. La tecla es distinta en cada ocasión, con el fin de que el atacante no pueda grabar el tono DTMF de la tecla en el mensaje del contestador.

  1. cybernews.com/news/whatsapp-data-leak

💬 Comentarios

1
skizoy
1

Que asco, los chorizos siempre estrujándose la cabeza para averiguar nuevos métodos para robar. Si utilizaran su cerebro para trabajar de verdad…

🗨️ 1
["lhacc"]

Serían pobres como lo somos los demás que trabajamos honradamente.

Amenhotep
2

Si la tecla cada vez es distinta el atacante tiene cada vez 1 probabilidad entre 10 de acertar. Si tiene infinitos intentos al final lo acertará. Otro asunto es que al tercer intento erróneo WhatsApp bloquee la verificación por ejemplo en cuyo caso la probabilidad de acertar es del 30%. Que no es desdeñable.

Solución: desactivar el buzón de voz.

🗨️ 10
SAR12
2

No has entendido nada, al ser una verificación telefónica el buzón de voz al solicitar WA tocar una tecla no hará nada por lo que no se grabará ningún mensaje en el buzón.

🗨️ 9
apocalypse
0

Puede grabarse el típico mensaje de bienvenida en el buzón de voz, al tener acceso a éste de manera ilegítima, con el tono DTMF de cada número.

🗨️ 8
Cosmonauta

El buzón es el del operador del número en cuestión, no el del atacante ¿?

🗨️ 2
apocalypse

Sí, he rectificado el mensaje. Pero si se tiene acceso a él para escuchar los mensajes, también sería posible cambiar el mensaje de bienvenida.

🗨️ 1
SAR12

A ver que da igual que puedas grabar un mensaje de bienvenida, cuando acabe el mensaje y el buzón diga piiii para grabar el mensaje WA entonces es cuando solicita presionar una tecla, en ese momento ya no hay mensaje de bienvenida y WA no va a grabar ningún código en el buzón.

También habría que ver si con un simple spoofing del identificador el operador deja grabar un mensaje de bienvenida o simplemente escuchar los mensajes.

🗨️ 4
apocalypse

cuando acabe el mensaje y el buzón diga piiii para grabar el mensaje WA entonces es cuando solicita presionar una tecla

En cuanto salta el contestador es llamada respondida y la llamada de WhatsApp puede comenzar a "hablar" desde ese mismo momento sin esperar al tono. Con grabar la bienvenida calculando el tiempo que tarda la llamada de WhatsApp en pedir la pulsación y que en ese momento suene el DTMF, acabar justo ahí para que suene el tono y empezar a grabar la respuesta podría ser es suficiente.

Claro que cuanto tiempo e intentos puede llevar eso…

🗨️ 3
apocalypse
🗨️ 1
Alexvr

Está bien que WhatsApp tome medidas aunque no le corresponda porque la responsabilidad de esta vulnerabilidad es el operador.

kafeolé

¿Vodafone se salva?

["lhacc"]

Pero esto si tienes activada la verificación en dos pasos no sirve para nada, ¿no?

🗨️ 1
Tinkinaz304

En principio eso está para que no puedan acceder, pero creo que WhatsApp deja unos días para luego poder acceder si tienes finalmente el control de los códigos recibidos en la numeración.

Tinkinaz304
3

Gracias Josh por dar visibilidad al fallo. No hace mucho vi también videos en YouTube de como lo hacían con Orange, pero ahora no los encuentro, quizás los eliminaron, en esta operadora la técnica era llamar con spoofing al buzón de voz de Orange 656242242 y meter el número de la víctima cliente de Orange. Además, en el caso de Orange y sus virtuales, concretamente los que están en su CRM o que comparten por así decirlo las iniciales del ICCID 893401, el buzón de voz es un auténtico caos, pues el fallo es aún más gordo. Sólo basta con hacer spoofing al propio número de la víctima que ya tenga el buzón activo y el sistema detecta que la llamada recibida viene desde el mismo número de teléfono y se accede al buzón de voz.

Un ejemplo: En Simyo, si tienes activo el buzón de voz y te llamas a tu propio número, accedes al buzón de voz. Pues lo mismo sucede si un delincuente utiliza tu mismo número y te llama y le salta tu buzón de voz, entraría al buzón de voz de forma automática, por tanto si tienes el móvil apagado ya estás en peligro. Aunque WhatsApp haya introducido este método, hay otros sitios como cuentas de Google y otras mensajerías que siguen dictando el código mediante una locución, pueden seguir dejando el código en un mensaje del buzón de voz.

A día de hoy hay compañías afectadas, como he comentado antes, Simyo es una de ellas, también Suop, PTV Telecom y habría que hacer pruebas con algunas más. Entiendo que Youmobile y LLamaya 3G y las que aún sigan con red Orange también tendrán el fallo.

Misteriosamente y desde hace algunas semanas, he portado varios números a Simyo y también algunos amigos, pues todos ellos venían con el buzón de voz desactivado, cuando esto antes no era así, el buzón siempre ha venido activado por defecto, parece un bug, por que al intentar activarlo por el área de clientes no se activa a no ser que enciendas la línea y lo actives tú posteriormente.

Desde que sepa más compañías afectadas las iré publicando, además conozco más bugs y fallos de seguridad que estoy a la espera de que sean solucionados por otras empresas , incluso bancarias, como no tomen medidas las empresas al final esto acabará muy mal xD

Por cierto, el fallo está presente en multitud de operadoras de otros países también.

🗨️ 1
Cosmonauta

Desde que sepa más compañías afectadas las iré publicando, además conozco más bugs y fallos de seguridad que estoy a la espera de que sean solucionados por otras empresas , incluso bancarias, como no tomen medidas las empresas al final esto acabará muy mal xD

¿Relacionado también con el buzón de voz?

Tinkinaz304
2

No, del buzón de voz no, fraudes por ejemplo con el alta del servicio Bizum, entre otros. Hay un bug que estoy investigando desde hace tiempo que me comentó una persona afectada, la cual ha recibido ya varias suplantaciones en el servicio Bizum. Esta persona no utiliza este servicio, pero su número ya se ha dado de alta varias veces en el servicio Bizum a nombre de otras personas. Y ya he visto algunos más casos. Bizum dice que la culpa es de la entidad bancaria que asocia el número a la cuenta bancaria de su cliente en cuestión sin verificar, y luego el cliente hace el alta de Bizum también sin verificar por SMS nada, cosa que me parece muy extraña, tampoco quieren aportar la entidad bancaria culpable, la cual sospecho que son varias.

De momento ya he cazado una entidad que permite cambiar el número de teléfono móvil y asociarlo a cuentas de sus clientes sin verificarlos por SMS, además es muy conocida, pero de momento no puedo decir nada ya que lo están intentando solucionar y si no, saldrá todo a la luz. Pero como comento, hay más entidades involucradas.

Si alguien tiene forma de saber a qué entidad puede estar asociado un número, os doy algunos números de ejemplos que están suplantados en la plataforma Bizum a día de hoy.

700000000 (este ni está asignado a ningún operador)

612345678

642642642 (Este de DigiMobil) como se entere Digi, se les va a caer el pelo a los de Bizum y a la que lo tiene asociado xD.

Es fácil comprobar si un número tiene Bizum, en vuestro banco accedéis a la cuenta y le dáis a solicitar un bizum, ponéis una cantidad mínima de 0,50€ céntimos por ejemplo, mentéis un número al azar y os sale si el número tiene Bizum por que os sale el nombre y las iniciales de los apellidos. No hace falta darle a continuar y solicitar el Bizum, con ver la información es suficiente.

Por cierto, volviendo al tema de antes, los del Spoofing utilizan una App llamada "TalkU", lo que pasa que la modifican y en el campo "value" ponen el número que desean, engañando al servidor para así mostrar al llamar el número que desean suplantar.

Luego hay otras Apps como SpoofGuard que aunque no está disponible en España, permite suplantar un número sin hacer nada raro.

Por último, la más peligrosa, y la que se utilizó en el fraude de los famosos "mensajes dictados" está la "Fun Phone Call", disponible en iOS y el Apk en Android descargable en internet. No hay que ser muy listo para bucear un poco en internet y buscar Apks de Android modificadas para hacer estas cosas. La culpa la tienen los fallos de las compañías, el BBVA te identifica si llamas con tu número, Vodafone, Orange, Simyo o Yoigo igual, por decir algunas, los buzones igual. Con esto del spoofing estamos en peligro, y la culpa de todo la tienen las compañías y los IVRS que dan información y realizan gestiones sin pedir el DNI del titular.

Aquí un vídeo de la App modificada:

youtube.com/watch?v=tS7cqoNrzwg

La mayoría de las suplantaciones vienen de fuera de España, aunque aquí se puede hacer también no veo que sea tan sencillo como lo hace esta gente que cuelga esos videos, por que muchas de las Apps ya están retiradas de las tiendas de aplicaciones.

1