Hakeri zloupotrebljavaju legitimnu WhatsApp funkciju za povezivanje uređaja kako bi preuzeli naloge korisnika putem kodova za uparivanje, u kampanji poznatoj kao GhostPairing.
Ova vrsta napada ne zahtijeva klasičnu autentifikaciju, jer je žrtva prevarom navedena da poveže hakerov pregledač kao novi uređaj na svom WhatsApp nalogu.
Na taj način, hakeri dobijaju pristup kompletnoj istoriji razgovora i dijeljenim medijima, a prikupljene informacije mogu iskoristiti za lažno predstavljanje ili finansijske prevare.
Kampanja je prvo uočena u Evropi, ali mehanizam širenja omogućava da se lako proširi i na druge regione, pri čemu kompromitovani nalozi služe kao polazna tačka za napade na nove mete.
Napad počinje kratkom porukom koja dolazi od poznatog kontakta, uz link koji navodno vodi ka onlajn fotografiji žrtve. Da bi poruka djelovala uvjerljivije, link se prikazuje kao Facebook pregled sadržaja.
Klikom na link, žrtva se preusmjerava na lažnu Facebook stranicu, hostovanu na tip-skvotovanom ili veoma sličnom domenu, gdje se tvrdi da je potrebna verifikacija prije pristupa sadržaju.
Stranica za verifikaciju je zapravo obmana i pokreće WhatsApp proces za povezivanje uređaja. Od korisnika se traži unos broja telefona, koji haker zatim koristi da inicira legitimni postupak povezivanja novog uređaja sa nalogom.
WhatsApp potom generiše kod za uparivanje, koji se prikazuje na lažnoj stranici. Istovremeno, WhatsApp aplikacija na telefonu žrtve traži da se taj kod unese kako bi se novi uređaj povezao sa nalogom.
Iako WhatsApp jasno upozorava da je riječ o pokušaju povezivanja novog uređaja, korisnici često ne obraćaju dovoljno pažnje na ovo obavještenje.
Kada žrtva unese kod, haker dobija potpun pristup nalogu, bez potrebe da zaobilazi dodatne zaštitne mehanizme.
Preko WhatsApp Web-a, napadači mogu u realnom vremenu čitati nove poruke, pregledati i preuzimati dijeljene medije, kao i slati poruke u ime žrtve, šireći istu prevaru ka kontaktima i grupama.
Posebno je opasno to što mnoge žrtve nisu svjesne da je u pozadini dodat novi uređaj, pa hakeri mogu mjesecima pratiti komunikaciju bez ikakvog znanja korisnika.
Jedini siguran način da se kompromitacija otkrije jeste provjera opcije Settings → Linked devices, gdje se može vidjeti lista svih povezanih uređaja i ukloniti neovlašćeni.
Korisnicima se savjetuje da blokiraju i prijave sumnjive poruke, uključe dvofaktorsku autentifikaciju i ne reaguju ishitreno na poruke koje ih požuruju na brzu akciju, već da uvijek provjere da li poruka ima smisla i da li je pošiljalac zaista onaj za koga se predstavlja.
Treba imati u vidu da je povezivanje uređaja moguće i skeniranjem QR koda putem mobilne WhatsApp aplikacije, kao i da slične funkcije postoje i u drugim aplikacijama za dopisivanje, gdje su u prošlosti već bile zloupotrebljavane u sličnim napadima.
Izvor: BleepingComputer
