Раскрыта новая схема взлома WhatsApp, при которой пользователи сами отдают доступ к переписке хакерам

WhatsApp Gen GhostPairing Луис Корронс Мартин Хлумецкий захват аккаунтов социальная инженерия
Раскрыта новая схема взлома WhatsApp, при которой пользователи сами отдают доступ к переписке хакерам
WhatsApp Gen GhostPairing Луис Корронс Мартин Хлумецкий захват аккаунтов социальная инженерия

Атака использует легальные функции мессенджера, не требуя перехвата секретных кодов.

image

Специалисты компании Gen сообщили о новой схеме захвата аккаунтов в WhatsApp, получившей название GhostPairing. Атака выглядит обыденно и почти не вызывает подозрений, но в результате злоумышленники получают полный доступ к переписке, медиафайлам и контактам жертвы, не взламывая пароль и не перехватывая СМС.

Кампания была зафиксирована в Чехии, где с заражённых аккаунтов начали рассылаться короткие сообщения знакомым людям. Обычно в тексте упоминалась некая фотография и прилагалась ссылка, оформленная как превью в стиле Facebook. После перехода открывалась простая страница с фирменными цветами и логотипом соцсети, где предлагалось подтвердить действие перед просмотром содержимого.

На самом деле такие сайты не имели отношения к Facebook. Они использовали домены с названиями, связанными с фото и публикациями, и служили посредником между пользователем и легальной инфраструктурой WhatsApp. Жертву подводили к процедуре привязки нового устройства, выдавая её за обычную проверку. В одном из вариантов показывался QR-код, в другом — цифровой код, который предлагалось ввести в приложении.

Ключевая особенность атаки в том, что пользователь сам подтверждает подключение постороннего устройства. Через функцию привязки по номеру телефона сайт передаёт номер в WhatsApp, получает код сопряжения и показывает его жертве с инструкцией ввести в приложении. В результате браузер злоумышленника добавляется как связанное устройство и получает те же права, что и обычный WhatsApp Web.

После этого атакующая сторона может читать старые и новые сообщения, просматривать и скачивать медиафайлы, собирать чувствительные данные и рассылать новые приманки от имени владельца аккаунта. При этом основной телефон продолжает работать нормально, а наличие дополнительного устройства часто остаётся незамеченным, если не заглядывать в список подключённых сеансов в настройках.

Распространение схемы происходит благодаря доверию между людьми. Получив доступ к одному аккаунту, злоумышленники рассылают такие же короткие сообщения его контактам и в групповые чаты. Краткие сообщения без лишних объяснений снижают настороженность и позволяют атаке быстро разрастаться.

Авторы отчёта отмечают, что GhostPairing использует штатные возможности сервиса и не требует кражи секретных данных. Опасность усиливается тем, что привязанные устройства сохраняют доступ до ручного отключения. По их мнению, ситуацию могли бы улучшить более наглядные предупреждения при добавлении устройств, расширенная информация о новых сеансах и ограничения на массовые попытки привязки.

Хотя в данном случае речь идёт о WhatsApp, сама модель атаки шире конкретного приложения. Любой сервис, использующий быстрые процедуры сопряжения через коды или подтверждения на основном устройстве, потенциально уязвим к подобным сценариям. GhostPairing рассматривается как предупреждение о том, как сочетание социальной инженерии и легальных функций может привести к незаметному и долгосрочному компромету аккаунтов.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.