¿Puede WhatsApp recuperar las copias de seguridad de Google Drive si el teléfono no está conectado a la cuenta de Google original?

Navega tus respuestas
5

La semana pasada, los medios de comunicación brasileños informaron sobre una estafa relacionada con WhatsApp en la que un atacante podría obtener acceso a una cuenta de WhatsApp activando el número de teléfono de destino en un dispositivo diferente para controlar a un estafador. Un informe detallado es disponible aquí (enlace en portugués). La estafa funciona de la siguiente manera:

  1. Un empleador del operador al que pertenece el número de teléfono de destino activaría este mismo número en un dispositivo diferente, en posesión del estafador.
  2. El estafador luego activa la cuenta de WhatsApp de la víctima en este nuevo teléfono, ya que ahora puede capturar el SMS utilizado para validar si un dispositivo dado tiene el control de un número dado.
  3. El estafador se pone en contacto con la familia y los amigos de la víctima, fingiendo que necesita dinero, solicitando una transferencia, este tipo de cosas.

Por supuesto, hay muchas fallas en el plan, ya que el propietario original del teléfono notaría que su dispositivo ya no funciona, y algunos estafadores ya han sido atrapados. También necesita la cooperación de un empleado portador deshonesto. También con la nueva característica de WhatsApp de autenticación en dos pasos, este ataque se puede prevenir durante 7 días.

Sin embargo, todos los medios de comunicación informaron que los estafadores tenían acceso a los siguientes datos:

  • Grupos
  • Contactos
  • Historial de chats

Los dos primeros elementos me parecen razonables, lo que parece extraño es cómo los estafadores podrían tener acceso al historial de chat , ya que sabemos que WhatsApp solo almacena mensajes cifrados no entregados . Esto debe significar que el estafador está obteniendo el historial de la copia de seguridad de Google Drive . Sin embargo, el estafador solo tiene el poder de controlar el número de teléfono . ¿Cómo puede acceder a los archivos de conversación en Google simplemente controlando esto?

Creo que es muy improbable que esto sea cierto, porque mi cuenta de Google está protegida por una contraseña y un cheque adicional a través de la autenticación de dos pasos, que el estafador no tiene. ¿No se informa con exactitud esta historia?

    
pregunta Henrique Jung 16.02.2017 - 15:37
fuente

1 respuesta

4
  

¿No se informa esta historia con exactitud?

Sí, de alguna manera. Quiero decir, la información que cuestionaste es precisa (la primera vez que también dudé), simplemente no explicaron todos los detalles. Así que decidí enviar un mensaje a Ronaldo Prass , la persona detrás de esta declaración en el artículo que has vinculado (que en la traducción gratuita parece esto):

  

Él (el estafador) identificará quiénes son los familiares y amigos. Tiene el historial de chat del que podría beneficiarse y utilizar para hacer que la estafa sea más confiable, lo que hace que la víctima no tenga preguntas al respecto

Según él, hay pasos más profundos en esta estafa que la prensa no publicó, ya que de alguna manera "podría ser una receta para la estafa".

Hay un punto importante que estamos olvidando aquí: Los estafadores tienen a alguien de su lado en un transportista.

Dicho esto, es fácil deducir que el empleado tiene acceso al registro de víctimas. Por lo tanto, el estafador y el "equipo" detrás de él tienen toda la información que necesitan, incluida la dirección de correo electrónico de la víctima. Además, es posible que las víctimas no hayan sido elegidas al azar, sino que se basen en su perfil.

Bueno, ahora el atacante tiene el correo electrónico y el número de teléfono móvil (clonado en un nuevo teléfono) de la víctima, todo lo que necesita es intentar acceder a la cuenta a través de un recuperación de recuperación como se puede ver en la siguiente imagen (que en realidad ayuda al ataque: punto similar aquí ). Simplemente solicita la recuperación y obtiene acceso completo a la cuenta deseada.

Esoeslaprimeraymuyimportantepartedelaestafa,quelaprensapareceevitarexplicar.Solodespuésdeeso,configuranWhatsAppenel"teléfono clonado" con todo el historial de chat, contactos, grupos, todo.

Básicamente, esta estafa solo es posible (i̶n̶ ̶B̶r̶a̶z̶i̶l̶ ̶B̶e̶c̶a̶u̶s̶e̶ ̶o̶f̶ ̶B̶r̶a̶z̶i̶l̶i̶a̶n̶s̶ * ̶) con la ayuda de un empleado de la operadora y la principal vulnerabilidad aquí es lo fácil que es para ellos transferir el número a otra tarjeta SIM para un estafador .

* DESCARGO DE RESPONSABILIDAD : soy brasileño

EDIT : En lo que a mí respecta, todos estamos seguros con cualquier tipo de verificación en dos pasos, ya que ambos pasos deben ser aprobados. En este caso el estafador fallará en uno de ellos. Esta estafa puede afectar solo a personas sin verificación en dos pasos y con un teléfono de recuperación.

    
respondido por el Patrick Bard 17.02.2017 - 16:48
fuente

Lea otras preguntas en las etiquetas

¿Cómo probar que el servidor web Apache ya no acepta conexiones debido a un ataque de denegación de servicio (Slowloris)? Vulnerabilidad de LastPass: ¿Deben los usuarios de LastPass cambiar todas sus contraseñas?