Tehdit aktörleri, GhostPairing adlı bir kampanyada eşleştirme kodları aracılığıyla WhatsApp hesaplarını ele geçirmek için meşru cihaz bağlama özelliğini kötüye kullanıyor.
Kurban, saldırganın tarayıcısını bir WhatsApp cihazına bağlaması için kandırıldığı için bu tür bir saldırı herhangi bir kimlik doğrulama gerektirmez.
Bunu yaparak, tehdit aktörleri konuşma geçmişinin tamamına ve paylaşılan medyaya erişebilir ve bilgileri kullanıcıların kimliğine bürünmek veya dolandırıcılık yapmak için kullanabilir.
Gen Digital (eski adıyla Symantec Corporation ve NortonLifeLock), kampanyanın ilk olarak Çekya’da tespit edildiğini söylüyor ancak yayılma mekanizmasının, güvenliği ihlal edilmiş hesapların yeni hedeflere ulaşmak için sıçrama tahtası görevi görmesi nedeniyle kampanyanın diğer bölgelere yayılmasına izin verdiği konusunda uyarıyor.
GhostPairing nasıl çalışır?
Saldırı, bilinen bir kişiden gelen ve kurbanın çevrimiçi bir fotoğrafına yönlendirdiği iddia edilen bir bağlantıyı paylaşan kısa bir mesajla başlıyor. Biraz güven aşılamak için bağlantı, Facebook’tan içerik önizlemesi olarak görüntülenir.
Kaynak: Gen Dijital
Ayrıca bağlantı, kurbanı yazım hatası yapılmış veya benzer görünen alanlarda barındırılan sahte bir Facebook sayfasına yönlendiriyor ve bu sayfa, kullanıcıların içeriğe erişmeden önce oturum açarak doğrulama yapmaları gerektiğini bildiriyor.
Doğrulama sayfası aldatıcıdır ve aslında WhatsApp’ın cihaz eşleştirme iş akışını tetikler. Mağdurlardan, saldırganın meşru bir cihaz bağlama veya oturum açma sürecini başlatmak için kullandığı telefon numaraları istenir.
Kaynak: Gen Dijital
WhatsApp, saldırganın sahte sayfada görüntüleyeceği bir eşleştirme kodu oluşturur. WhatsApp ayrıca kurbandan yeni cihazı hesabına bağlamak için kodu girmesini ister.
WhatsApp’ın mesajı, bildirimin yeni bir cihazı hesaba bağlama girişimi için olduğunu açıkça belirtse de, kullanıcıların bunu gözden kaçırması muhtemeldir.
Kurban eşleştirme kodunu girdikten sonra saldırgan, herhangi bir korumayı aşmaya gerek kalmadan hesaba tam erişime sahip olur.
WhatsApp Web, yeni mesajlara gerçek zamanlı erişim sağlar ve paylaşılan medyanın görüntülenmesine veya indirilmesine olanak tanır. Mesaj göndermek ve aynı yemi mevcut kişilere ve gruplara iletmek için kullanılabilir.
Gen Digital, “Birçok kurban arka plana ikinci bir cihazın eklendiğinden habersiz, bu da dolandırıcılığı daha da tehlikeli hale getiriyor; suçlular hesabınızda saklanıyor, her konuşmanızı siz farkına bile varmadan izliyor” diye uyarıyor.
Güvenliği açığa çıkarmanın tek yolu Ayarlar → Bağlı Cihazlar’a gidip hesaba bağlı yetkisiz cihazları kontrol etmektir.
Kullanıcıların şüpheli mesajları engellemesi ve raporlaması ve iki faktörlü kimlik doğrulama hesap korumasını etkinleştirmesi teşvik edilir. Aceleyle harekete geçmeniz gerekiyorsa, her zaman acele etmemeli, alınan mesajı analiz etmeli, mantıklı olup olmadığını ve sizinle iletişime geçen kişinin gerçekten iddia ettiği kişi olup olmadığını değerlendirmelisiniz.
Mobil WhatsApp uygulamasını kullanarak bir QR kodunu tarayarak cihazları bağlamanın da mümkün olduğunu unutmamak gerekir.
Bu özellik birden fazla mesajlaşma uygulamasında mevcut ve geçmişte Rus tehdit aktörleri tarafından ilgilenilen Signal hesaplarına erişim sağlamak için kullanılmıştı.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.