Будьте очень осторожны со ссылками в WhatsApp

WhatsApp уже давно представляет собой нечто большее, чем приложение для обмена сообщениями: это канал, по которому мы общаемся с семьей, друзьями, коллегами и целыми группами, которые являются частью нашей повседневной жизни. Эта близость, это чувство безопасного и знакомого пространства — именно то, что делает любую угрозу, проникающую на платформу, гораздо более серьезной, чем на другие сервисы. И именно здесь подходит новая кампания мошенничества, обнаруженная недавно, которая демонстрирует, в какой степени доверие может работать против нас.

Исследователи безопасности выявили волну реальных атак на пользователей WhatsApp, которые основаны не на вредоносных программах или классических сбоях, а на чем-то гораздо более простом: обманом заставить пользователя предоставить доступ самому. Отправной точкой обычно является короткое, неформальное и, казалось бы, невинное сообщение, отправленное с аккаунта кого-то из знакомых. Таких фраз, как “Эй, я думаю, это твоя фотография” или “Я только что нашел твое изображение”, достаточно, чтобы вызвать любопытство и вызвать почти автоматический щелчок.

Этот щелчок ведет на страницу, которая выглядит как программа просмотра Facebook, со знакомыми цветами, логотипом и дизайном. Никаких загрузок или странных уведомлений, только предполагаемый экран предварительной проверки для просмотра содержимого. Хитрость заключается в том, что эта страница не имеет ничего общего с Facebook: она действует как посредник между жертвой и законной инфраструктурой WhatsApp, используя реальные функции сервиса, чтобы сделать следующий шаг в обмане.

Здесь вступает в игру то, что исследователи окрестили атакой GhostPairing. Здесь нет кражи паролей, дублирования SIM-карты или изощренных атак на систему аутентификации. Вместо этого пользователя убеждают завершить официальный процесс сопряжения устройств WhatsApp, неосознанно добавляя браузер злоумышленника в качестве устройства, более связанного с его учетной записью. С точки зрения WhatsApp, все выглядит совершенно правдоподобно: владелец разрешил доступ.

Хотя WhatsApp позволяет связывать устройства с помощью QR-кодов, в этой кампании злоумышленники в основном прибегают к варианту цифровых кодов. Поддельная страница запрашивает номер телефона, а затем показывает код, который предположительно необходимо ввести в WhatsApp, чтобы “подтвердить” доступ к контенту. Этот процесс настолько похож на обычную проверку безопасности, что многие пользователи выполняют его без каких-либо подозрений, тем самым одобряя сопряжение устройства злоумышленника.

После того, как вы сделали ссылку, ущерб нанесен. Злоумышленник получает полный доступ к учетной записи из своего собственного браузера: он может читать разговоры, получать сообщения в режиме реального времени, загружать фотографии и аудио, а также отправлять сообщения, выдавая себя за жертву. Самое опасное, что атакованная учетная запись продолжает нормально работать на телефоне, поэтому многие люди не замечают ничего странного в течение нескольких дней или даже недель, в то время как кто-то другой наблюдает и действует из тени.

Сам дизайн атаки облегчает ее быстрое распространение. Контролируя реальную учетную запись, преступники могут пересылать то же мошенническое сообщение семье, друзьям и группам доверия, где шансы на успех намного выше, чем при использовании традиционного спама. Здесь нет неизвестных номеров или подозрительных текстов: все циркулирует в рамках реальных отношений, что превращает мошенничество в настоящий снежный ком.

Защита от такого рода атак не требует передовых технических знаний, но требует изменения привычек. Очень важно периодически проверять связанные устройства в настройках WhatsApp и удалять все сеансы, которые мы не распознаем. Также следует опасаться любого внешнего веб-сайта, который запрашивает сканирование QR-кода или ввод кода для “просмотра” файла, полученного в чате: сопряжение устройств всегда должно быть преднамеренным действием, инициируемым самим приложением. Активация двухэтапной проверки и оповещение нашего окружения при обнаружении сообщений такого типа также помогает замедлить их распространение.

Помимо WhatsApp, этот случай является неудобным напоминанием о более широкой реальности. Все больше и больше цифровых сервисов полагаются на системы быстрого подбора игроков, временные коды и подтверждения одним касанием. Когда эти механизмы сочетаются с хорошо отлаженной социальной инженерией, результатом может быть постоянный и тихий доступ. GhostPairing не нарушает безопасность: он ограничивается убеждением пользователя открыть дверь самому. И это именно та угроза, которой мы должны уделять больше всего внимания.