GhostPairing: атака на привязку устройств WhatsApp, обход двухфакторной защиты
Атака GhostPairing представляет собой серьезную киберугрозу, которая эксплуатирует функцию привязки устройств в WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), позволяя злоумышленникам получать несанкционированный доступ к учетным записям пользователей. Кампания впервые была зафиксирована в Чехии и демонстрирует, как злоумышленники используют доверие между контактами для быстрой и масштабируемой компрометации аккаунтов.
Как работает атака
- Первичный вектор — вводящие в заблуждение сообщения от скомпрометированных аккаунтов, направленные на контакты жертвы. Сообщение обычно содержит ссылку, выдающуюся за фотографию и отображающуюся как элемент Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) в WhatsApp.
- При переходе по ссылке пользователь попадает на минималистичную веб‑страницу с логотипом Facebook, где его просят подтвердить личность для доступа к контенту.
- Вместо простого фишинга злоумышленники используют более сложный метод, задействующий соответствующие телефонные номера и коды, тесно связанные с протоколом two-factor authentication. Это позволяет обойти традиционные меры безопасности без кражи паролей или перехвата сообщений.
- После успешной привязки устройства атакующий получает права, эквивалентные легальному пользователю, через WhatsApp Web, что дает возможность отправлять сообщения, осуществлять мошеннические действия и распространять вредоносные ссылки от имени жертвы.
Почему атака эффективна
- Злоумышленники опираются на установленное доверие между пользователями: сообщения приходят от знакомых контактов, поэтому получатели реже испытывают подозрения.
- Использование повторяемого инструментария указывает на организованную деятельность, а не на единичные случаи.
- Механизм уязвимости — функция сопряжения устройств — присутствует не только в WhatsApp, что делает возможным применение аналогичных приемов на других платформах.
«Меры безопасности должны эволюционировать, чтобы справляться со сложными манипуляциями с законными функциями в приложениях», — подчёркивает суть угрозы.
Последствия и рекомендации
Последствия атаки выходят за рамки компрометации одного аккаунта: злоумышленники могут использовать скомпрометированные учетные записи для дальнейшей социальной инженерии, распространения мошенничества и атак на контакты жертвы. Сама по себе уязвимость демонстрирует необходимость усиления защиты механизмов привязки устройств и процесса аутентификации.
Рекомендации по уменьшению рисков (обобщённые выводы из отчёта):
- Проявлять повышенную бдительность при переходе по внешним ссылкам, даже если они приходят от знакомых.
- Проверять активные сессии и привязанные устройства в настройках WhatsApp и немедленно завершать подозрительные сессии.
- Использовать дополнительные меры защиты там, где это возможно, и следить за обновлениями безопасности приложений.
- Организации и разработчики должны пересмотреть процессы привязки устройств и механизмы верификации, чтобы предотвратить злоупотребление легитимными функциями.
Атака GhostPairing служит напоминанием о том, что злоумышленники всё чаще манипулируют законными функциями приложений. Это требует от пользователей и разработчиков постоянного обновления подходов к безопасности и осторожности в повседневном использовании мессенджеров.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



