GhostPairing: атака на привязку устройств WhatsApp, обход двухфакторной защиты

Атака GhostPairing представляет собой серьезную киберугрозу, которая эксплуатирует функцию привязки устройств в WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), позволяя злоумышленникам получать несанкционированный доступ к учетным записям пользователей. Кампания впервые была зафиксирована в Чехии и демонстрирует, как злоумышленники используют доверие между контактами для быстрой и масштабируемой компрометации аккаунтов.

Как работает атака

• Первичный вектор — вводящие в заблуждение сообщения от скомпрометированных аккаунтов, направленные на контакты жертвы. Сообщение обычно содержит ссылку, выдающуюся за фотографию и отображающуюся как элемент Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) в WhatsApp.
• При переходе по ссылке пользователь попадает на минималистичную веб‑страницу с логотипом Facebook, где его просят подтвердить личность для доступа к контенту.
• Вместо простого фишинга злоумышленники используют более сложный метод, задействующий соответствующие телефонные номера и коды, тесно связанные с протоколом two-factor authentication. Это позволяет обойти традиционные меры безопасности без кражи паролей или перехвата сообщений.
• После успешной привязки устройства атакующий получает права, эквивалентные легальному пользователю, через WhatsApp Web, что дает возможность отправлять сообщения, осуществлять мошеннические действия и распространять вредоносные ссылки от имени жертвы.

Почему атака эффективна

• Злоумышленники опираются на установленное доверие между пользователями: сообщения приходят от знакомых контактов, поэтому получатели реже испытывают подозрения.
• Использование повторяемого инструментария указывает на организованную деятельность, а не на единичные случаи.
• Механизм уязвимости — функция сопряжения устройств — присутствует не только в WhatsApp, что делает возможным применение аналогичных приемов на других платформах.

«Меры безопасности должны эволюционировать, чтобы справляться со сложными манипуляциями с законными функциями в приложениях», — подчёркивает суть угрозы.

Последствия и рекомендации

Последствия атаки выходят за рамки компрометации одного аккаунта: злоумышленники могут использовать скомпрометированные учетные записи для дальнейшей социальной инженерии, распространения мошенничества и атак на контакты жертвы. Сама по себе уязвимость демонстрирует необходимость усиления защиты механизмов привязки устройств и процесса аутентификации.

Рекомендации по уменьшению рисков (обобщённые выводы из отчёта):

• Проявлять повышенную бдительность при переходе по внешним ссылкам, даже если они приходят от знакомых.
• Проверять активные сессии и привязанные устройства в настройках WhatsApp и немедленно завершать подозрительные сессии.
• Использовать дополнительные меры защиты там, где это возможно, и следить за обновлениями безопасности приложений.
• Организации и разработчики должны пересмотреть процессы привязки устройств и механизмы верификации, чтобы предотвратить злоупотребление легитимными функциями.

Атака GhostPairing служит напоминанием о том, что злоумышленники всё чаще манипулируют законными функциями приложений. Это требует от пользователей и разработчиков постоянного обновления подходов к безопасности и осторожности в повседневном использовании мессенджеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GhostPairing: атака на привязку устройств WhatsApp, обход двухфакторной защиты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.