A kiberbűnözők egy GhostPairing néven azonosított támadási kampány keretében a WhatsApp legitim készülékösszekapcsolási (device linking) funkcióját kihasználva kompromittálják a felhasználói fiókokat.

A módszer nem igényli a hagyományos hitelesítési mechanizmusok technikai megkerülését. A támadók social engineering eszközökkel érik el, hogy az áldozat saját maga kapcsoljon össze egy illetéktelen eszközt a fiókjával egy párosítási kód megadásával. A sikeres összekapcsolást követően a támadók teljes körű, valós idejű hozzáférést szereznek a kompromittált WhatsApp-fiók üzenetforgalmához, beszélgetési előzményeihez és a megosztott médiatartalmakhoz. Az így megszerzett információk alkalmasak felhasználók megszemélyesítésére, további célpontok elérésére, valamint különböző csalárd vagy jogosulatlan adatszerzési tevékenységek végrehajtására.

A Gen Digital jelentése szerint a kampányt elsőként Csehországban azonosították, ugyanakkor a támadás terjedési mechanizmusa miatt más régiókban is gyors megjelenés várható.

A GhostPairing támadás folyamata

A GhostPairing támadás egy látszólag ismerőstől érkező rövid üzenettel indul, amely egy (állítólag az áldozatról készült) fényképre mutató hivatkozást tartalmaz.

A hitelesség növelése érdekében az URL Facebook-tartalom előnézeteként jelenik meg. A hivatkozás azonban egy, a legitim Facebook felületére megtévesztően hasonlító weboldalra irányítja a felhasználót és a tartalom megtekintését megelőzően felhasználói hitelesítés szükségességére hivatkozva próbálja rávenni az áldozatot a bejelentkezésre. A háttérben valójában a WhatsApp készülékösszekapcsolási folyamata indul el. Az áldozat megadja telefonszámát, amelyet a támadó egy legitim eszközpárosítási eljárás kezdeményezésére használ fel.

A WhatsApp ezt követően párosítási kódot generál, amelyet a támadó a hamis oldalon jelenít meg, miközben az alkalmazás értesíti a felhasználót egy új eszköz összekapcsolásának kísérletéről. Bár az értesítés egyértelmű figyelmeztetést tartalmaz, a felhasználók gyakran nem értelmezik megfelelően annak jelentőségét. A kód megadásával a támadó a WhatsApp Weben keresztül teljes hozzáférést kap a fiókhoz, beleértve az üzenetküldést és -továbbítást is, ami lehetővé teszi a támadás gyors továbbterjedését.

A kompromittálódás sok esetben hosszabb ideig észrevétlen marad és kizárólag a Beállítások → Összekapcsolt eszközök menüpont ellenőrzésével deríthető fel.

A védekezés érdekében javasolt

• a gyanús üzenetek azonnali blokkolása és jelentése,
• a kétfaktoros hitelesítés engedélyezése, valamint
• a sürgető vagy érzelmi nyomásgyakorlást alkalmazó üzenetek fokozott körültekintéssel történő kezelése.

(forrás, forrás)