Cibercriminos estão explorando o recurso de vincular dispositivos do WhatsApp para sequestrar contas sem exigir autenticação em uma campanha que foi nomeada GhostPairing. A Gen Digital, empresa que identificou a campanha, afirma que é possível que essa técnica se espalhe globalmente.
O ataque começa com uma mensagem de um contato conhecido da vítima, que diz “Ei, acabei de encontrar uma foto sua!” e contém um link que parece direcionar para o Facebook.
A página, na verdade, é falsa e é usada para coletar as informações da vítima. As vítimas inserem o número de telefone e recebem um código de verificação, há também a opção de fazer login com um QR Code.
Links observados na campanha incluíam no URL:
- photobox[.]life;
- postsphoto[.]life;
- Yourphoto[.]life;
- photopost[.]live;
- Yourphoto[.]world;
- top-foto[.]life;
- fotoface[.]top.
As duas opções estão dando aos criminosos acesso ao WhatsApp Web da vítima, o que permite que eles acompanhem conversas, vejam fotos e toda a atividade no app de mensagens. Como o aplicativo da vítima continua funcionando normalmente, não há suspeitas e os criminosos conseguem coletar informações e contatos para estender a campanha.
Campanha não é complicada de se replicar
O método usado neste ataque não exige nenhum malware complexo – na verdade, os cibercriminosos nem precisam ser muito experts – porque todo o golpe é baseado em ferramentas do próprio WhatsApp.
A análise mostra que a campanha GhostPairing depende de um kit de golpe reutilizável, com modelos idênticos e domínios com temas de fotos facilmente trocados quando bloqueados. Este modelo tipo kit permite abuso rápido e escalável.
Para descobrir se o seu dispositivo foi comprometido, a vítima teria que acessar as Configurações do WhatsApp, clicar em “Dispositivos Vinculados” e verificar se há algum aparelho conectado à conta que não pertence a ela.
Como se proteger
Para se proteger, a Gen Digital recomenda algumas boas práticas.
- Bloqueie e denuncie mensagens suspeitas;
- Ative a Autenticação de Múltiplo Fator no WhatsApp;
- Analise links antes de clicar;
- Verifique se o contato que está mandando mensagem, é realmente quem ele diz ser;
- Preste atenção nas etapas de verificação de identidade.
