A técnica conhecida como ‘GhostPairing’ utiliza o método de conexão do próprio WhatsApp para fazer com que as vítimas conectem, de forma privada, suas contas de mensagens do navegador sob controle de cibercriminosos. Segundo informações publicadas pelos pesquisadores da Gen Digital e divulgadas pela mídia, esse tipo de ataque não exige a obtenção de senhas ilegais ou a cópia de cartões SIM, dois métodos frequentemente utilizados em ataques anteriores a serviços de mensagens.
Segundo a Gen Digital, o ataque começa quando uma potencial vítima recebe uma mensagem de um contato legítimo de sua lista do WhatsApp. A matéria alerta para a existência de uma foto supostamente da pessoa vinculada e oferece um link para visualização. Ao fazer login, os usuários são direcionados para uma página da web que se parece com uma janela de login do Facebook. Neste mundo falso, você é solicitado a inserir seu número de telefone e, em seguida, a usar o aplicativo móvel WhatsApp para escanear um código QR ou inserir um código digital para concluir o registro.
Esse processo leva a vítima a conectar sua conta do WhatsApp a um dispositivo adicional, função muito legítima que o aplicativo oferece para estender o uso da conta principal a quatro dispositivos diferentes. Conforme relatado pela Gen Digital, o método mais comum desses ataques é a utilização de códigos digitais para autenticação, aproveitando a funcionalidade do WhatsApp Web ou da versão desktop para Windows. Portanto, o usuário, sem saber o truque, permite que o navegador controlado pelo ciberataque funcione com o mesmo nível de acesso como se tivesse o dispositivo original consigo.
A mídia explicou que, após a conclusão do processo, a sessão continua aberta no computador do invasor, supondo que a própria vítima tenha conectado um novo dispositivo. Este método permite visualizar o histórico de mensagens, ver a chegada das comunicações em tempo real e baixar arquivos enviados ou recebidos, além de utilizar a lista de contatos para enviar novas comunicações, repetindo assim a mensagem original e ampliando o ataque.
Segundo informações compartilhadas pela Gen Digital, o nome ‘GhostPairing’ responde à natureza invisível do link criado pela conta e pelo dispositivo não autorizado. O WhatsApp considera o login uma atividade legítima de seu proprietário. Por esse motivo, o interessado pode não saber que existe um terceiro trabalhando com suas informações, pois não há roubo de credenciais ou interferência no fluxo normal de SMS que é utilizado para autorizar novos dispositivos em outros tipos de fraude.
Os cibercriminosos conseguem manipular a confiança na comunicação para atrair mais vítimas através do envio da primeira mensagem, o que permite aumentar rapidamente a escala do ataque. Segundo fontes, esse método permite acesso total a todas as funções enviadas no WhatsApp Web, ampliando a possibilidade de destruição de informações sensíveis, o compartilhamento de arquivos e conversas, bem como a possibilidade de comunicação com terceiros sem interferência ou demonstração de favoritismo ao dono da conta.
Uma pesquisa da Gen Digital mostrou que o esquema explora funções comuns do WhatsApp destinadas a melhorar a experiência de muitos usuários. Nesse caso, o invasor não precisa se aproveitar de fragilidades técnicas ou entrar ilegalmente no sistema estrangeiro, pois a autorização vem de forma direta e desconhecida da interação humana. A fraude, conforme noticiado pela mídia, depende da manipulação da aparência de páginas da web que imitam o design de serviços populares para promover uma falsa impressão da legitimidade do processo de vinculação.
O acesso obtido com esse golpe oferece aos cibercriminosos o mesmo acesso dos usuários cadastrados no WhatsApp Web. Conforme confirmado pela Gen Digital, esses poderes incluem ler mensagens antigas, receber novos textos instantaneamente, baixar fotos, vídeos e documentos, bem como agir em nome do proprietário original, o que combina o efeito de espalhar o ataque de conexão em conexão sem verificações prévias por parte dos envolvidos.
A mídia explicou que a singularidade desse método é que não existe uma técnica tradicional para assumir o controle da conta, como manipulação de senha ou cópias ilegais de cartões SIM. A abordagem conta com engenharia social e uso de ferramentas reais do WhatsApp, que representam desafios adicionais na identificação e prevenção desse tipo de incidente. Os pesquisadores apontaram que é preciso considerar o processo de pareamento do aparelho e ficar atento aos links recebidos que solicitam que essas etapas sejam feitas fora da situação normal ou por meio de uma emergência que pareça justificada por uma conexão conhecida.
Conforme explica a Gen Digital, a campanha utiliza recursos legítimos disponibilizados pelo aplicativo e aproveita diversos recursos, que visam melhorar a experiência inicial do usuário. O uso indevido desses recursos transforma a prática usual de emparelhar a conta com o WhatsApp Web ou outras ferramentas em um canal que facilita o acesso não autorizado, não significa o uso de software externo malicioso ou envio de credenciais para servidores desconhecidos.
A investigação concluiu que a chave para o sucesso da técnica ‘GhostPairing’ depende da confiança depositada pelo utilizador na legitimidade da mensagem e na aparência credível do site de acesso simulado. A Gen Digital enfatizou que a falta de notificações ao vivo ou alertas automáticos que alertem os usuários sobre a abertura de novas sessões ajuda a aumentar a eficácia desse tipo de ataque. Até o momento, a recomendação do especialista se concentra em verificar qualquer comunicação relacionada à integração de dispositivos e ter muito cuidado ao receber links ou solicitações de comunicação, mesmo de pessoas conhecidas.
