En gruppe forskere fra cybersikkerhetsselskapet Gen Digital har identifisert en sofistikert ny sosial ingeniørteknikk som har potensial til å sette alle med en WhatsApp-konto i fare. Alt uten å bryte plattformens krypteringsprotokoller, men ved å dra nytte av noen funksjoner integrert i WhatsApp som lar deg utføre Ghost Pairinger hvordan forskerne definerte teknikken. Utnytter muligheten «Tilkoblede enheter»setter nettkriminelle inn en ekstern observatør i våre private samtaler. Dette blir mulig ved å indusere offeret til autorisere en ny enhet (vanligvis angriperens nettleser) som får ham til å tro at han fullfører en banal verifiseringsprosedyre for å se multimedieinnhold på en ekstern plattform, ofte forkledd som Facebook.
Faren for dette angrepet ligger iusynlighet nytes av nettkriminelle. Det siste hindrer faktisk ikke brukeren i å fortsette å bruke telefonen sin til å motta og sende meldinger, og på denne måten kan de lese offerets chat-historikk, lytte til talenotater, sende meldinger som utgir seg for å være kontoeieren og forvandle den kompromitterte profilen til en bro som de potensielt kan spre infeksjonen med til alle kontaktene i adresseboken. La oss se mer detaljert hvordan GhostPairing fungerer på WhatsApp og hvordan du kan forsvare deg selv.
Hvordan WhatsApp GhostPairing fungerer
Det starter vanligvis med et varsel som virker ufarlig, som kommer fra en kontakt i adresseboken vår, en venn, et familiemedlem eller en kollega som, uten at han vet det, hvis WhatsApp-konto allerede er kompromittert. Teksten er kort, dagligdags og appellerer til nysgjerrigheten, med setninger som «Hei, jeg fant nettopp bildet ditt!» etterfulgt av en hyperkobling som tar deg til en adresse, vanligvis av denne typen:
- photobox.life
- postsphoto.life
- ditt bilde.liv
- photopost.live
- yourphoto.world
- topp-foto.liv
- fotoface.top
Opprinnelsen til en melding fra en kontakt som allerede er til stede i adresseboken (i stedet for fra et ukjent nummer), fraværet av grove grammatiske feil og invitasjonen til å åpne lenken for å se et bilde av seg selv, senker forsvaret og kan potensielt få personen som mottar meldingen til å utføre den foreslåtte handlingen drevet av nysgjerrigheten som oppstår fra meldingen som mottas. Synd at du, ved å klikke på den aktuelle lenken, ikke ledes til et ekte sosialt nettverk, men til en nettside som fungerer som agn og som trofast gjenskaper det grafiske grensesnittet til Facebook, ved å bruke fargene, logoene og layouten for å skape en følelse av fortrolighet og trygghet hos de som besøker den. Denne uredelige siden advarer oss om at det er nødvendig for å se det lovede bildet fullstendig identitetsbekreftelse. Det er på dette tidspunktet GhostPairing-fellen utløses: nettstedet prøver ikke å stjele Facebook-legitimasjon, men starter prosedyren for å koble en ny enhet til WhatsApp-kontoen vår i bakgrunnen.
Den tekniske mekanismen som denne svindelen er basert på, drar fordel av alternativet som lar deg knytte WhatsApp Web eller Desktop ikke bare via den klassiske QR-koden, men også ved å skrive inn en alfanumerisk kode knyttet til telefonnummeret ditt. I de aller fleste tilfeller foretrekker angripere denne andre ruten fordi den kan utføres helt fra offerets smarttelefon, uten behov for å ramme inn eksterne skjermer, noe som gjør prosessen mye mer flytende og troverdig. Alt skjer i fem faser:
- Offeret oppgir mobilnummeret sitt på den falske Facebook-siden.
- Siden leverer det innsamlede nummeret til WhatsApps legitime «Koble til en enhet»-funksjon.
- WhatsApp genererer på dette tidspunktet en tilknytningskode som bare skal være synlig for kontoeieren.
- Nettstedet satt opp av angriperen tar den koden og viser den til offeret med en tekst som foreslår «skriv det inn i WhatsApp for å bekrefte tilgang og se bildet».
- På dette tidspunktet åpner offeret WhatsApp, ser sammenkoblingsforespørselen og skriver inn koden, og tror de fullfører en legitim sikkerhetssjekk.
Når tilkoblingen er opprettet (eller sammenkobling), fungerer inntrengeren som en «spøkelse» enhet (på engelsk spøkelsederav navnet Ghost Pairing). Fra dette øyeblikket har han sanntidstilgang til alt som går gjennom offerets konto: han kan lese innkommende og tidligere meldinger, laste ned bilder og videoer, lytte til talemeldinger og stjele sensitiv informasjon. Enda mer alvorlig er muligheten for å sende meldinger i navnet til sitt offer; dette lar svindelen forplante seg selv som en ild i tørt gress ved å utnytte tilliten som kontaktene gir brukeren, og skape en «snøball»-effekt som er vanskelig å stoppe.
Hvordan forsvare deg mot WhatsApp GhostPairing
Til beskytt deg mot risikoen for WhatsApp GhostPairinger det viktig å huske et nøkkelaspekt fremhevet av sikkerhetsforskere ved Gen Digital:
(Du bør) behandle enhver forespørsel om å skanne en WhatsApp QR-kode eller skrive inn en numerisk kode fra en nettside som mistenkelig. Kobling til WhatsApp bør skje fra appen og som svar på en bevisst handling, ikke fordi et eksternt nettsted forteller deg at det er nødvendig å se en fil. (…) Aktivering av totrinnsverifisering i WhatsApp legger til en ekstra hindring for andre typer kontomisbruk. Det er ikke en komplett løsning, men det reduserer rekkevidden av handlinger angripere kan utføre når de er inne.
For å være sikker på at WhatsApp-kontoen din ikke blir spionert på via GhostPairing-teknikken, gjør også denne sjekken.
- ÅpneWhatsApp-appen og gå til delen Innstillinger > Tilkoblede enheter.
- Analyser nøyeliste over tilkoblede enheter til kontoen din.
- Hvis du oppdager en mistenkelig kobling, trykker du på enhetsnavn for å fjerne og velge oppføringen Du går ut to ganger på rad.
