GhostPairing: атака на привязку устройств WhatsApp, обход двухфакторной защиты

Атака GhostPairing представляет собой серьезную киберугрозу, которая эксплуатирует функцию привязки устройств в WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), позволяя злоумышленникам получать несанкционированный доступ к учетным записям пользователей. Кампания впервые была зафиксирована в Чехии и демонстрирует, как злоумышленники используют доверие между контактами для быстрой и масштабируемой компрометации аккаунтов.

Как работает атака

  • Первичный вектор — вводящие в заблуждение сообщения от скомпрометированных аккаунтов, направленные на контакты жертвы. Сообщение обычно содержит ссылку, выдающуюся за фотографию и отображающуюся как элемент Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) в WhatsApp.
  • При переходе по ссылке пользователь попадает на минималистичную веб‑страницу с логотипом Facebook, где его просят подтвердить личность для доступа к контенту.
  • Вместо простого фишинга злоумышленники используют более сложный метод, задействующий соответствующие телефонные номера и коды, тесно связанные с протоколом two-factor authentication. Это позволяет обойти традиционные меры безопасности без кражи паролей или перехвата сообщений.
  • После успешной привязки устройства атакующий получает права, эквивалентные легальному пользователю, через WhatsApp Web, что дает возможность отправлять сообщения, осуществлять мошеннические действия и распространять вредоносные ссылки от имени жертвы.

Почему атака эффективна

  • Злоумышленники опираются на установленное доверие между пользователями: сообщения приходят от знакомых контактов, поэтому получатели реже испытывают подозрения.
  • Использование повторяемого инструментария указывает на организованную деятельность, а не на единичные случаи.
  • Механизм уязвимости — функция сопряжения устройств — присутствует не только в WhatsApp, что делает возможным применение аналогичных приемов на других платформах.

«Меры безопасности должны эволюционировать, чтобы справляться со сложными манипуляциями с законными функциями в приложениях», — подчёркивает суть угрозы.

Последствия и рекомендации

Последствия атаки выходят за рамки компрометации одного аккаунта: злоумышленники могут использовать скомпрометированные учетные записи для дальнейшей социальной инженерии, распространения мошенничества и атак на контакты жертвы. Сама по себе уязвимость демонстрирует необходимость усиления защиты механизмов привязки устройств и процесса аутентификации.

Рекомендации по уменьшению рисков (обобщённые выводы из отчёта):

  • Проявлять повышенную бдительность при переходе по внешним ссылкам, даже если они приходят от знакомых.
  • Проверять активные сессии и привязанные устройства в настройках WhatsApp и немедленно завершать подозрительные сессии.
  • Использовать дополнительные меры защиты там, где это возможно, и следить за обновлениями безопасности приложений.
  • Организации и разработчики должны пересмотреть процессы привязки устройств и механизмы верификации, чтобы предотвратить злоупотребление легитимными функциями.

Атака GhostPairing служит напоминанием о том, что злоумышленники всё чаще манипулируют законными функциями приложений. Это требует от пользователей и разработчиков постоянного обновления подходов к безопасности и осторожности в повседневном использовании мессенджеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: