В мире мессенджеров появился новый, крайне изощрённый способ компрометации аккаунтов WhatsApp — так называемая атака GhostPairing. Она не требует взлома пароля, подмены SIM-карты или сложных хакерских трюков. Вместо этого злоумышленники заставляют самих пользователей незаметно добавить их устройство в список доверенных, получая доступ ко всем сообщениям и медиа, как если бы это был обычный WhatsApp Web клиент.
Компания Gen Digital обнаружила новый способ похищения контроля над аккаунтами WhatsApp, который назвали GhostPairing Attack — «атака призрачного связывания». В отличие от традиционных взломов, здесь нет кражи пароля или технической уязвимости в коде мессенджера. Всё основано на социальной инженерии, то есть на том, чтобы убедить пользователя выполнить обычные шаги, похожие на законный процесс подтверждения личности.
Ключевой трик атаки — использовать встроенную функцию WhatsApp, которая позволяет привязывать дополнительные устройства к аккаунту (например, браузер на компьютере). Злоумышленники отправляют короткое сообщение от имени одного из контактов жертвы с текстом вроде «Эй, я только что нашёл твоё фото!» и ссылкой. Ссылка выглядит как превью Facebook-сообщения — знакомая и не вызывающая подозрений.
Если жертва открывает ссылку, она попадает на поддельную страницу, стилизованную под Facebook, и видит приглашение «подтвердить», чтобы просмотреть фото. На самом деле, этот фальшивый интерфейс действует как посредник между пользователем и законной службой «Linked Devices» в WhatsApp. Далее страница предлагает ввести номер телефона и код сопряжения — тот самый, который обычно используется при подключении WhatsApp Web. Когда пользователь вводит эти данные в мессенджер, он фактически одобряет новый «доверенный» браузер — тот, что контролируется злоумышленником.
После такого одобрения атакующий получает полный доступ к аккаунту: может читать сообщения, просматривать медиафайлы, видеть контакты и даже отправлять сообщения от имени жертвы. При этом телефон жертвы продолжает работать как обычно — она может и не подозревать, что чужой браузер уже связан с её аккаунтом в фоне.
Главная опасность GhostPairing — в его незаметности. Пользователь сам «одобряет» дополнительное устройство, думая, что делает обычный шаг проверки, похожий на двухфакторную аутентификацию. Злоумышленники действуют в рамках предусмотренной функциональности WhatsApp, лишь манипулируют пользователем, чтобы он выполнил нужные действия в нужный момент.
Чтобы снизить риски, эксперты рекомендуют регулярно проверять список привязанных устройств в разделе «Linked Devices» в настройках WhatsApp и отключать те, которые кажутся подозрительными. Также важно быть осторожным с любыми запросами на ввод кодов или подтверждений, поступающими из внешних источников, особенно если они замаскированы под популярные сервисы, такие как Facebook.
