Η νέα επίθεση GhostPairing επιτρέπει στους επιτιθέμενους να αποκτήσουν πλήρη πρόσβαση στο WhatsApp με τον αριθμό τηλεφώνου

Μια καμπάνια εξαγοράς λογαριασμών που ανακαλύφθηκε πρόσφατα και στοχεύει χρήστες του WhatsApp δείχνει πώς οι εισβολείς μπορούν να παραβιάσουν λογαριασμούς μηνυμάτων χωρίς να κλέψουν κωδικούς πρόσβασης ή να εκμεταλλευτούν τεχνικές ευπάθειες.

Η απειλή, που προσδιορίζεται ως επίθεση GhostPairing, χρησιμοποιεί την κοινωνική μηχανική και τη νόμιμη λειτουργία σύνδεσης συσκευών του WhatsApp για να παρέχει στους εισβολείς πλήρη πρόσβαση στους λογαριασμούς των θυμάτων.

Η καμπάνια πρωτοεμφανίστηκε στην Τσεχία, αλλά δεν παρουσιάζει γεωγραφικούς περιορισμούς, με τους επιτιθέμενους να χρησιμοποιούν κιτ επαναχρησιμοποιήσιμων για να κλιμακώσουν τις δραστηριότητές τους σε πολλές χώρες και γλώσσες.

Η επίθεση ξεκινά όταν τα θύματα λαμβάνουν μηνύματα από γνωστές επαφές, που συνήθως υποδηλώνουν ότι έχουν βρει μια φωτογραφία. Το μήνυμα περιλαμβάνει έναν σύνδεσμο που έχει σχεδιαστεί για να εμφανίζεται ως προβολή περιεχομένου στο Facebook.

Όταν οι χρήστες κάνουν κλικ στον σύνδεσμο, συναντούν μια ψεύτικη σελίδα με θέμα το Facebook που ζητά επαλήθευση πριν αποκτήσουν πρόσβαση στο περιεχόμενο.

Αυτή η οικεία διεπαφή δημιουργεί μια ψευδή αίσθηση νομιμότητας που ενθαρρύνει τους χρήστες να ολοκληρώσουν τη διαδικασία επαλήθευσης χωρίς να αμφισβητήσουν την αυθεντικότητά της.

Gen Digital αναλυτές και ερευνητές ανακαλυφθείς ότι η επίθεση εκμεταλλεύεται τη δυνατότητα σύζευξης συσκευών του WhatsApp, η οποία επιτρέπει στους χρήστες να συνδέουν πρόσθετες συσκευές όπως προγράμματα περιήγησης ιστού και εφαρμογές επιτραπέζιου υπολογιστή με τους λογαριασμούς τους.

Αντί να βασίζονται σε τεχνικά κατορθώματα ή κλοπή διαπιστευτηρίων, οι εισβολείς εξαπατούν τους χρήστες να εγκρίνουν πρόθυμα μια μη εξουσιοδοτημένη σύνδεση συσκευής.

Μηχανισμός μόλυνσης

Ο μηχανισμός μόλυνσης βασίζεται στον αριθμό τηλεφώνου του WhatsApp και τη ροή κωδικών αριθμητικής σύζευξης, καθιστώντας αυτήν την επίθεση ιδιαίτερα αποτελεσματική.

Όταν οι χρήστες εισάγουν τον αριθμό τηλεφώνου τους στην ψεύτικη σελίδα, η υποδομή του εισβολέα παρεμποδίζει το αίτημα και το προωθεί στο νόμιμο τελικό σημείο σύνδεσης συσκευών του WhatsApp.

Το WhatsApp δημιουργεί έναν κωδικό σύζευξης που προορίζεται μόνο για τον κάτοχο του λογαριασμού, αλλά ο ιστότοπος του εισβολέα εμφανίζει αυτόν τον κωδικό στο θύμα μαζί με οδηγίες για να τον εισάγει στο WhatsApp για να ολοκληρωθεί η επαλήθευση σύνδεσης.

Από την οπτική γωνία του θύματος, αυτό φαίνεται πανομοιότυπο με τον τυπικό έλεγχο ταυτότητας δύο παραγόντων. Μόλις το θύμα εισαγάγει τον κωδικό στην πραγματική του εφαρμογή WhatsApp, εγκρίνει εν αγνοία του το πρόγραμμα περιήγησης του εισβολέα ως συνδεδεμένη συσκευή.

Ο εισβολέας έχει πλέον μόνιμη πρόσβαση σε όλες τις ιστορικές συνομιλίες, τα εισερχόμενα μηνύματα, τις φωτογραφίες, τα βίντεο και τις ευαίσθητες πληροφορίες που κοινοποιούνται στον λογαριασμό, ενώ παραμένει εντελώς αόρατος στον κάτοχο του λογαριασμού.

Η επίμονη φύση αυτής της πρόσβασης καθιστά την επίθεση ιδιαίτερα επικίνδυνη. Σε αντίθεση με την παραδοσιακή πειρατεία λογαριασμών που κλειδώνει τους νόμιμους χρήστες, το GhostPairing επιτρέπει στους εισβολείς να παρατηρούν συνομιλίες και να συλλέγουν πληροφορίες επ’ αόριστον.

Οι παραβιασμένοι λογαριασμοί γίνονται φορείς διάδοσης, επιτρέποντας στους επιτιθέμενους να στέλνουν τα ίδια μηνύματα δελεασμού στις επαφές του θύματος, δημιουργώντας ένα εφέ χιονόμπαλας που πολλαπλασιάζει την εμβέλεια της επίθεσης.

Οι χρήστες μπορούν να προστατευτούν ελέγχοντας τακτικά τις συνδεδεμένες συσκευές τους στις Ρυθμίσεις WhatsApp και αφαιρώντας άγνωστες περιόδους σύνδεσης, αντιμετωπίζοντας τυχόν εξωτερικά αιτήματα για σάρωση κωδικών QR ή εισαγωγή κωδικών σύζευξης ως άμεσα ύποπτα και ενεργοποιώντας την επαλήθευση σε δύο βήματα για πρόσθετη ασφάλεια λογαριασμού.