Mdukuzi (An attacker) anaweza kuteka akaunti ya WhatsApp ya mwathirika na kupata ufikiaji wa ujumbe wa kibinafsi na anwani kupitia hila. Mbinu inategemea huduma ya usambazaji wa simu moja kwa moja ( Call forwarding ) inayotolewa na wabebaji wa simu za mkononi na chaguo la WhatsApp kutoa nambari ya uthibitishaji wa nenosiri la wakati mmoja (OTP) kupitia simu ya sauti.
Kulingana na Rahul Sasi, mwanzilishi na Mkurugenzi Mtendaji wa CloudSEK, biashara ya kuzuia hatari ya dijiti, mkakati huo hutumiwa kudukua akaunti za WhatsApp. Inapojaribiwa, iligunduliwa kuwa njia hiyo inafanya kazi, lakini kwa shida kadhaa ambazo mdukuzi mwenye uzoefu wa kutosha anaweza kupita. Wadukuzi wanaweza kuchukua akaunti ya WhatsApp ya mwathirika kwa dakika chache tu, lakini lazima kwanza wapate nambari ya simu ya mlengwa na kuwa tayari kushiriki katika uhandisi wa kijamii.
Sasi anasema kwamba mshambulizi lazima kwanza amshawishi mwathirika kupiga nambari inayoanza na nambari ya Man Machine Interface (MMI) iliyowekwa na mtoa huduma wa seli ili kuruhusu usambazaji wa simu. Kulingana na mtoa huduma wa rununu, nambari tofauti ya MMI inaweza kutuma simu zote kwenye terminal kwa nambari tofauti au tu wakati laini ina shughuli nyingi, au hakuna mapokezi yoyote.
Nyota (*) au ishara ya hash (#) hutangulia nambari hizi. Wao ni rahisi kupata, na kulingana na utafiti wao, wanasaidiwa na flygbolag zote kuu za mtandao wa simu. "Kwanza, unapokea simu kutoka kwa mshambuliaji ambaye atakushawishi kupiga simu kwa nambari ifuatayo **67* au *405*. Ndani ya dakika chache, WhatsApp yako ingefunguliwa, na washambuliaji watapata udhibiti kamili wa akaunti yako," alisema Rahul Sasi.
Kulingana na mtafiti, nambari ya tarakimu 10 inalingana na mshambuliaji. Nambari ya MMI mbele yake inaelekeza mtoa huduma wa simu kuelekeza simu zote kwa nambari ya simu iliyotolewa baada yake ikiwa laini ya mwathirika ina shughuli nyingi. Mshambuliaji huyo anaanza utaratibu wa usajili wa WhatsApp kwenye simu janja ya mwathiriwa baada ya kuwarubuni katika kusambaza simu kwa nambari yao. Wanachagua chaguo la kupata OTP kupitia simu ya sauti.
Baada ya kupata msimbo wa OTP, mshambulizi anaweza kutumia simu yake mahiri kusajili akaunti ya WhatsApp ya mwathirika na kutekeleza uthibitishaji wa sababu mbili (2FA), kuzuia wamiliki halisi kupata ufikiaji wa nyuma.
Wakati wa majaribio, iligunduliwa kuwa wakati utaratibu unaonekana kuwa rahisi, kuipata kufanya kazi inachukua juhudi zaidi. Kwanza kabisa, mshambulizi lazima atumie nambari ya MMI ambayo hutuma simu zote bila kujali hali ya kifaa lengwa (bila masharti). Kusubiri simu kunaweza kusababisha utekaji ( hijack )nyara kushindwa ikiwa MMI inatuma tu simu wakati namba ya simu inatumika ( busy ).
Wakati wa majaribio, ilibainika kuwa kifaa kilicholengwa pia kilikuwa kinapokea ujumbe wa maandishi ukiiambia kuwa WhatsApp yake ilikuwa ikitumiwa kwenye kifaa kingine. Watumiaji wanaweza kukosa onyo ( Warning ) ikiwa mshambulizi anatumia uhandisi wa kijamii ( Social engineering ) na kumshirikisha mwathirika katika mazungumzo ya simu kwa muda mrefu tu ili kupata msimbo ( Code ) wa WhatsApp OTP kwa sauti.
Ikiwa usambazaji wa simu ( Call forwarding ) tayari umewezeshwa kwenye kifaa cha mwathirika, mdukuzi atahitaji kupiga nambari tofauti ya simu kuliko ile inayotumiwa kwa uelekezaji upya. Kero hii ndogo inaweza kuhitaji uhandisi zaidi wa kijamii ( Social engineering ) . Kama uanzishaji unakuja na onyo lililozidiwa kwenye skrini ambayo haiendi hadi mtumiaji akubali, ishara ya wazi zaidi ya tabia ya shaka kwa mtumiaji anayelengwa ni wakati wabebaji wa simu wanabadilisha usambazaji wa simu ( Call forwarding ) kwa kifaa chao.
Watendaji wa vitisho wana nafasi nzuri ya kufanikiwa hata kwa onyo hili maarufu kwani watumiaji wengi hawajui nambari za MMI au mipangilio ya simu ya rununu ambayo inakataza usambazaji wa simu. Licha ya vikwazo hivi, wadanganyifu wenye ujuzi bora wa uhandisi wa kijamii ( Social engineering ) wanaweza kuweka hali ya kumfanya mwathirika achukue simu hadi wapokee nambari ya OTP ya kusajili akaunti ya WhatsApp ya mwathirika kwenye kifaa chao.
Wakati mkakati huu ulijaribiwa kwa kutumia mitandao ya seli ya Verizon na Vodafone, iligunduliwa kuwa mshambulizi aliye na hali halisi alikuwa na uwezekano mkubwa wa kuteka akaunti za WhatsApp.
Kwa mujibu wa takwimu za umma, chapisho la Sasi linahusu Airtel na Jio, waendeshaji wawili wa simu za mkononi wenye watumiaji karibu milioni 400 kufikia Desemba 2020. Ni rahisi kama kuwasha ulinzi wa uthibitishaji ( two-factor authentication protection ) wa sababu mbili za WhatsApp ili kujilinda dhidi ya aina hii ya shambulio. Kwa kudai PIN kila wakati watumiaji wanaposajili simu na programu ya kutuma ujumbe, kipengele hiki kinazuia watendaji wabaya kupata udhibiti wa akaunti.
Usisahau kushare elimu hii na marafiki
Comments
Post a Comment