Atacatorii obțin acces la conturi WhatsApp folosind o metodă simplă ce se bazează pe inginerie socială și opțiunea legitimă de atașare a unor dispozitive suplimentare pusă la dispoziție de platforma de mesagerie.
Campania, denumită GhostPairing de cercetătorii de la compania Gen Digital, a început în Cehia și nu necesită furtul de parole sau cartele SIM, și nici intercepția de coduri de acces.
Prin exploatarea relațiile de încredere existente, campanie prezintă un potențial ridicat de extindere la un număr mare de utilizatori. După compromiterea unui cont, atacatorii pot trimite același mesaj capcană tuturor contactelor și grupurilor victimei.
În etapa inițială, victimele primesc un mesaj de la un contact cunoscut, de obicei cu un text simplu precum “Hei, tocmai am găsit poza ta!” urmat de un link care arată ca o previzualizare Facebook.
Când utilizatorii accesează linkul, sunt direcționați către o pagină falsă care imită Facebook și le solicită o „verificare” înainte de a vedea conținutul.
Însă pagina frauduloasă exploatează funcția legitimă de asociere la contul WhatsApp a unor dispozitive adiționale printr-un cod numeric pe care utilizatorul trebuie să îl introducă în aplicația WhatsApp pentru a „confirma autentificarea”.
O metoda mai uzuala de adaugare a unui dispozitiv nou este printr-un cod QR pe care utilizatorul îl scanează folosind aplicația WhatsApp.
Mecanismul tehnic
Varianta codului numeric este cea preferată de către atacatori pentru că ascunde mai bine că victima introduce numărul de telefon pe pagina falsă.
Site-ul atacatorului acționează ca un proxy către sistemul real de asociere a dispozitivelor WhatsApp, transmițând un cod de împerechere pe care îl afișează victimei cu instrucțiuni să îl introducă în aplicația WhatsApp pentru „verificare”.
Din perspectiva WhatsApp, proprietarul contului tocmai a aprobat un nou dispozitiv conectat.
Odată ce dispozitivul atacatorului este asociat, acesta obține acces complet la cont: poate citi conversațiile istorice, primi mesaje în timp real, descărca fotografii și videoclipuri, și trimite mesaje în numele victimei.
Cel mai periculos aspect este că telefonul victimei continuă să funcționeze normal, iar mulți utilizatori nu realizează asocierea unui nou dispozitiv, avertizează experții de la Gen Digital.
Măsuri de protecție
Utilizatorii pot verifica dispozitivele conectate accesând opțiunea „Setări → Dispozitive conectate” în WhatsApp de unde pot elimina sesiunile necunoscute.
Este esențial să tratați cu suspiciune orice solicitare de scanare a unui cod QR sau de introducere a unui cod numeric dintr-o pagină web. Activarea verificării în doi pași oferă un nivel suplimentar de protecție.
Atacul GhostPairing reprezintă o schimbare subtilă în modul în care operează unii atacatori: în loc să spargă sistemele de securitate sau să folosească malware, se bazează pe inginerie socială și abuzează funcționalități legitime ale platformelor de mesagerie.
