Atores maliciosos estão abusando do recurso legítimo de vinculação de dispositivos para sequestrar contas do WhatsApp por meio de códigos de pareamento em uma campanha denominada GhostPairing.
Esse tipo de ataque não requer nenhuma autenticação, pois a vítima é enganada para vincular o navegador do atacante a um dispositivo WhatsApp.
Ao fazer isso, os agentes maliciosos obtêm acesso a todo o histórico da conversa e às mídias compartilhadas, podendo usar essas informações para se passar por outros usuários ou cometer fraudes.
A Gen Digital (anteriormente Symantec Corporation e NortonLifeLock) afirma que a campanha foi detectada pela primeira vez na República Tcheca, mas alerta que o mecanismo de propagação permite que ela se espalhe para outras regiões, com contas comprometidas servindo como trampolim para atingir novos alvos.
Como funciona o GhostPairing
O ataque começa com uma breve mensagem de um contato conhecido, compartilhando um link que supostamente leva a uma foto online da vítima. Para inspirar confiança, o link é exibido como uma prévia do conteúdo do Facebook.
Além disso, o link leva a vítima a uma página falsa do Facebook hospedada em domínios com erros de digitação ou similares, que informa que os usuários precisam ser verificados fazendo login antes de acessar o conteúdo.
A página de verificação é enganosa e, na verdade, aciona o processo de pareamento de dispositivos do WhatsApp. As vítimas são solicitadas a fornecer seu número de telefone, que o atacante usa para iniciar um processo legítimo de vinculação de dispositivo ou login.
Fonte: Gen Digital
O WhatsApp gera um código de emparelhamento que o atacante exibe na página falsa. O WhatsApp também solicita que a vítima insira o código para vincular o novo dispositivo à sua conta.
Embora a mensagem do WhatsApp deixe claro que a notificação se refere a uma tentativa de vincular um novo dispositivo à conta, é provável que os usuários não a percebam.
Assim que a vítima insere o código de emparelhamento, o atacante obtém acesso completo à conta sem precisar burlar nenhuma proteção.
O WhatsApp Web permite o acesso a novas mensagens em tempo real e possibilita visualizar ou baixar mídias compartilhadas. Ele pode ser usado para enviar mensagens e encaminhá-las para contatos e grupos disponíveis.
“Muitas vítimas não percebem que um segundo dispositivo foi adicionado em segundo plano, o que torna o golpe ainda mais perigoso – os criminosos estão escondidos em sua conta, observando todas as suas conversas sem que você sequer saiba”, alerta a Gen Digital .
A única maneira de descobrir a invasão é acessar Configurações → Dispositivos Vinculados e verificar se há dispositivos não autorizados vinculados à conta.
Recomenda-se aos usuários que bloqueiem e denunciem mensagens suspeitas e ativem a autenticação de dois fatores para proteger suas contas. Caso sinta necessidade de agir imediatamente, analise a mensagem recebida com calma, verifique se faz sentido e se a pessoa que entrou em contato é realmente quem afirma ser.
Vale ressaltar que também é possível conectar dispositivos escaneando um código QR usando o aplicativo WhatsApp para celular.
Essa funcionalidade está disponível em diversos aplicativos de mensagens e já foi explorada por agentes maliciosos russos para obter acesso a contas do Signal de interesse.
