WhatsApp kullanıcılarını hedef alan yeni keşfedilen bir hesap ele geçirme kampanyası, saldırganların şifreleri çalmadan veya teknik güvenlik açıklarından yararlanmadan mesajlaşma hesaplarını nasıl ele geçirebileceğini gösteriyor.
GhostPairing Attack olarak tanımlanan tehdit, saldırganlara kurban hesaplarına tam erişim sağlamak için sosyal mühendislik ve WhatsApp’ın meşru cihaz bağlama özelliğini kullanıyor.
Kampanya ilk olarak Çekya’da ortaya çıktı ancak saldırganların operasyonlarını birden fazla ülke ve dilde ölçeklendirmek için yeniden kullanılabilir kitler kullanması nedeniyle herhangi bir coğrafi sınırlama göstermiyor.
Saldırı, kurbanların bilinen kişilerden genellikle bir fotoğraf bulduklarını öne süren mesajlar almasıyla başlıyor. Mesaj, Facebook içerik görüntüleyicisi olarak görünecek şekilde tasarlanmış bir bağlantı içerir.
.webp)
Kullanıcılar bağlantıya tıkladıklarında içeriğe erişmeden önce doğrulama isteyen sahte Facebook temalı bir sayfayla karşılaşıyorlar.
Bu tanıdık arayüz, kullanıcıları doğrulama sürecini orijinalliğini sorgulamadan tamamlamaya teşvik eden sahte bir meşruiyet duygusu yaratır.
Gen Digital analistleri ve araştırmacıları, saldırının WhatsApp’ın, kullanıcıların web tarayıcıları ve masaüstü uygulamaları gibi ek cihazları hesaplarına bağlamasına olanak tanıyan cihaz eşleştirme özelliğinden yararlandığını keşfetti.
Saldırganlar, teknik istismarlara veya kimlik bilgileri hırsızlığına güvenmek yerine, kullanıcıları izinsiz bir cihaz bağlantısını isteyerek onaylamaları için kandırır.
Enfeksiyon mekanizması
Bulaşma mekanizması WhatsApp’ın telefon numarasına ve sayısal eşleştirme kodu akışına dayanıyor ve bu da bu saldırıyı özellikle etkili kılıyor.
Kullanıcılar sahte sayfaya telefon numaralarını girdiğinde, saldırganın altyapısı isteği yakalıyor ve bunu WhatsApp’ın meşru cihaz bağlantı uç noktasına iletiyor.
.webp)
WhatsApp yalnızca hesap sahibine yönelik bir eşleştirme kodu oluşturur, ancak saldırganın web sitesi bu kodu kurbana, oturum açma doğrulamasını tamamlamak için WhatsApp’a girme talimatlarının yanı sıra görüntüler.
Kurbanın bakış açısından bu, standart iki faktörlü kimlik doğrulamayla aynı görünüyor. Kurban kodu gerçek WhatsApp uygulamasına girdiğinde, farkında olmadan saldırganın tarayıcısının bağlantılı bir cihaz olduğunu onaylıyor.
.webp)
Saldırgan artık hesap sahibi tarafından tamamen görünmez kalarak, hesapta paylaşılan tüm geçmiş konuşmalara, gelen mesajlara, fotoğraflara, videolara ve hassas bilgilere kalıcı erişime sahiptir.
Bu erişimin kalıcı doğası, saldırıyı özellikle tehlikeli kılmaktadır. Yasal kullanıcıları kilitleyen geleneksel hesap ele geçirme olaylarından farklı olarak GhostPairing, saldırganların süresiz olarak konuşmaları gözlemlemesine ve istihbarat toplamasına olanak tanır.
Ele geçirilen hesaplar yayılma vektörleri haline gelerek saldırganların kurbanın bağlantılarına aynı yem mesajlarını göndermesine olanak tanıyarak, saldırının erişim alanını artıran bir kartopu etkisi yaratır.
Kullanıcılar, bağlı cihazlarını WhatsApp Ayarları’nda düzenli olarak kontrol ederek ve bilinmeyen oturumları kaldırarak, QR kodlarını taramaya veya eşleştirme kodlarını girmeye yönelik harici istekleri anında şüpheli olarak değerlendirerek ve ek hesap güvenliği için İki Adımlı Doğrulama’yı etkinleştirerek kendilerini koruyabilirler.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
