資安廠商 Gen Digital 近日揭露一起名為「GhostPairing」的 WhatsApp 帳號劫持攻擊活動。攻擊者濫用 WhatsApp 合法的裝置連結功能,透過精心設計的釣魚頁面誘騙用戶輸入配對碼,即可在不觸發任何安全驗證的情況下完全接管帳號,即時監控受害者的所有對話內容。
Gen Digital(前身為 Symantec Corporation 及 NortonLifeLock)指出,此攻擊活動最早在捷克被發現。由於攻擊者會利用已遭入侵的帳號作為跳板,向受害者的聯絡人發送相同的釣魚訊息,因此具備向其他地區快速擴散的能力。
該公司警告,許多受害者完全不知道自己的帳號已被新增第二台裝置,這正是此攻擊最危險之處。攻擊者可在背景中潛伏,監看用戶的每一則對話,而用戶對此毫無察覺。
攻擊手法:假冒 Facebook 驗證頁面騙取配對碼
GhostPairing 攻擊流程精密且具高度欺騙性。攻擊起始於受害者收到一則來自已知聯絡人的短訊,聲稱分享一張包含受害者的線上照片,並附上一個連結。該連結刻意顯示為 Facebook 內容預覽,以降低受害者的戒心。
點擊連結後,受害者會被導向一個架設在域名相似網站上的假冒 Facebook 頁面。頁面聲稱用戶需要先登入驗證身分才能檢視內容。
實際上,這個「驗證頁面」會觸發 WhatsApp 的裝置配對流程。頁面要求受害者輸入電話號碼,攻擊者隨即使用該號碼向 WhatsApp 發起合法的裝置連結請求。WhatsApp 產生的配對碼會顯示在假冒頁面上,同時受害者的手機也會收到 WhatsApp 的配對提示。
儘管 WhatsApp 的提示訊息明確說明這是一個新裝置連結請求,但用戶在驗證流程的情境下很容易忽略這項警告。一旦受害者輸入配對碼,攻擊者便能完全存取該帳號,無需突破任何額外的安全防護。
攻擊者可即時存取訊息並擴大攻擊範圍
取得帳號存取權限後,攻擊者可透過 WhatsApp Web 即時接收所有新訊息,並可檢視或下載過往的共享媒體檔案。更危險的是,攻擊者能以受害者身分發送訊息,將相同的釣魚連結轉發給受害者的聯絡人與群組,藉此持續擴大攻擊範圍。
這些能力使攻擊者得以冒充受害者身分進行詐騙,或利用對話中的機敏資訊從事其他惡意行為。
立即檢查與防護建議
用戶可透過以下步驟檢查帳號是否遭到入侵:開啟 WhatsApp,進入「設定」→「已連結的裝置」,確認是否有任何未經授權的裝置連結至帳號。若發現可疑裝置,應立即將其移除。
Gen Digital 建議用戶採取以下防護措施:
- 收到可疑訊息時,應封鎖發送者並向 WhatsApp 回報
- 啟用雙因素驗證(Two-Factor Authentication)以強化帳號保護
- 收到任何催促立即採取行動的訊息時,應保持冷靜,仔細分析訊息內容是否合理,並確認發送者的真實身分
WhatsApp 的裝置連結功能也可透過掃描 QR Code 方式進行配對。類似的裝置連結功能存在於多款即時通訊軟體中,過去俄羅斯威脅行為者也曾利用相同手法攻擊 Signal 用戶帳號。
本文轉載自bleepingcomputer。