GhostPairing: как мошенники незаметно захватывают WhatsApp

В мессенджере WhatsApp распространяется новая схема мошенничества, которая принципиально отличается от классического взлома. Никаких украденных паролей, подмены SIM-карт или тревожных уведомлений. Всё происходит тихо — и с формального согласия самого пользователя.

Исследователи компании Avast называют эту атаку GhostPairing. Её ключевая особенность в том, что жертва сама подключает устройство злоумышленника к своему аккаунту, полагая, что проходит обычную проверку безопасности.

С чего всё начинается

Атака стартует с максимально безобидного сообщения, которое приходит от знакомого контакта в WhatsApp: «Привет, я тут нашёл твоё фото». Короткая фраза, ссылка — и ничего, что выглядело бы подозрительно.

По ссылке открывается сайт, визуально почти неотличимый от Facebook (также принадлежит Meta): фирменные цвета, логотип, знакомая структура. Пользователю сообщают, что для просмотра фото необходимо пройти «верификацию».

Ловушка без взлома

На самом деле сайт не имеет никакого отношения к Facebook. Его задача — аккуратно провести пользователя через официальный процесс привязки нового устройства к WhatsApp, тот самый, который используется для WhatsApp Web или десктопной версии.

Чаще всего применяется схема с числовым кодом. Пользователя просят ввести номер телефона, после чего WhatsApp присылает настоящий код привязки. Фейковая страница предлагает ввести его «для продолжения». После этого устройство злоумышленника незаметно добавляется в список связанных.

Почему это опасно

Пароль не крадётся, защита не взламывается. С точки зрения WhatsApp всё выглядит корректно — доступ был подтверждён владельцем аккаунта. В результате атакующий получает почти полный доступ: читает чаты, получает новые сообщения в реальном времени, просматривает фото, видео и голосовые сообщения, а также может писать от имени жертвы.

При этом смартфон пользователя продолжает работать как обычно. Ошибок, предупреждений и уведомлений нет. Самое неприятное — присутствие «призрачного» устройства может оставаться незамеченным неделями.

Самораспространяющаяся схема

Дальше атака масштабируется автоматически. Захваченный аккаунт начинает рассылать то же сообщение контактам жертвы — в рабочие чаты, семейные группы, друзьям. Так как сообщение приходит от знакомого человека, доверие срабатывает мгновенно.

GhostPairing опасна именно тем, что использует функции WhatsApp так, как они были задуманы. Связанные устройства остаются активными до тех пор, пока пользователь не удалит их вручную.

Как защититься

Защита, к счастью, не требует специальных навыков. Необходимо регулярно проверять список связанных устройств в настройках WhatsApp. Любое незнакомое устройство следует немедленно отключить.

Любые просьбы ввести код, подтвердить доступ или отсканировать QR-код «для просмотра контента» должны вызывать настороженность. Привязка устройств в WhatsApp должна происходить только по инициативе самого пользователя.

Также рекомендуется включить двухэтапную проверку и предупредить близких. Подобные схемы работают не за счёт технической сложности, а за счёт доверия и привычки к быстрым подтверждениям.

GhostPairing — это тревожный сигнал: чем проще и привычнее становятся механизмы авторизации, тем активнее ими начинают злоупотреблять.

Source link