TokyoBlackHatNews

gbhackers.com 4分で読了

GhostPairing攻撃により、電話番号だけでWhatsAppアカウントが完全に乗っ取られる危険性が判明

「GhostPairing攻撃」と呼ばれる新たなWhatsAppアカウント乗っ取りキャンペーンが出現し、脅威アクターがパスワードを盗んだりSIMスワップを行ったりすることなく、被害者のアカウントへ完全にアクセスできるようになります。

Genのセキュリティ研究者は、WhatsAppの正規のデバイス・ペアリング機能を悪用し、複数国にわたってアカウントを密かに侵害する高度なソーシャルエンジニアリング手口を発見しました。

GhostPairing攻撃は、WhatsAppを通じて送られる一見単純な誘導メッセージから始まります。

被害者は通常、侵害された連絡先から「ねえ、あなたの写真を見つけたよ!」といった文面のメッセージを受け取り、メッセージングアプリ内でFacebook風のプレビューとして表示されるリンクが添えられています。

ユーザーがリンクをクリックすると、信頼を得るためにブランド要素や配色が整えられた、Facebookのログイン画面を装ったミニマルなページに誘導されます。

そのページは、写真を見る前に本人確認として「確認」や「認証」を求めます。しかし実際には、この偽ページは攻撃者のコントロールパネルとして機能し、WhatsAppの正規のデバイス連携インフラへのリクエストをプロキシします。

この攻撃は、WhatsAppの電話番号ベースのデバイス・ペアリング機構を悪用します。被害者が不正ページに電話番号を入力すると、攻撃者のサイトはその情報をWhatsAppの正規のデバイス連携エンドポイントへ転送します。

Image
WhatsAppで送信された別の誘導メッセージ。

WhatsAppは本来アカウント所有者だけが受け取るべき認証コードを生成しますが、攻撃者はこれを傍受し、あたかも認証手続きの一部であるかのように被害者へ表示します。

被害者がこのコードをWhatsAppに入力すると、知らないうちに攻撃者のブラウザを自分のアカウントのリンク済みデバイスとして承認してしまいます。

WhatsApp側から見ると、正規のアカウント所有者が新しいセッションを承認したことになります。全体の流れは標準的な二要素認証に似ているため、多くのユーザーが疑うことなく完了してしまいます。

攻撃インフラと影響範囲

このキャンペーンはチェコで最初に観測され、侵害されたアカウントがローカルの連絡先に対して誘導メッセージを配布し始めました。

被害者はWhatsAppを開き、ペアリングのプロンプトを確認してコードを入力し、セキュリティチェックを完了しているのだと信じてしまいます。

Image
WhatsAppで受信したリンクをクリックした後に表示される偽Facebookページ。

研究者は、攻撃インフラ全体で使用されている類似ドメインのクラスターを特定しました。例として、photobox[.]life、postsphoto[.]life、yourphoto[.]life、fotopost[.]liveなどが挙げられます。

これらのドメインは一貫したパターンに従っており、GhostPairing攻撃が、犯罪者が購入して地域や標的グループに合わせてカスタマイズできる再利用可能なキットとして運用されていることを示唆しています。

誘導メッセージの言語的なバリエーションは、この攻撃テンプレートがどの国にも迅速に適応できることを示しており、世界規模で大きな潜在性を持つスケーラブルな脅威となっています。

被害者のアカウントにリンクされると、攻撃者はWhatsApp Webセッションと同等の包括的なアクセス権を得ます。

これには、過去の会話の閲覧、リアルタイムでのメッセージ受信、写真や動画などのメディアへのアクセスとダウンロード、住所や認証コードといった機微情報の収集が含まれます。

最も危険なのは、攻撃者がメッセージを送信したり、誘導コンテンツを被害者の連絡先へ転送したりできる点で、元の被害者が気づかないままアカウント侵害が急速に拡散する可能性があります。

この攻撃は、被害者がリンク済みデバイスを手動で解除するまで有効な永続的アクセスを生み出します。多くのユーザーは不正なセッションの存在に気づかず、攻撃者が会話を無期限に監視できてしまいます。

防御策

ユーザーは、WhatsAppの[設定]→[リンク済みデバイス]からリンク済みデバイスを直ちに確認し、見覚えのないセッションからログアウトする必要があります。

外部サイトからQRコードのスキャンや数値コードの入力を求められた場合は、疑わしいものとして扱うことが重要です。WhatsAppの二段階認証を有効にすると追加の保護になりますが、この種の攻撃を完全に防げるわけではありません。

GhostPairingについて連絡先やグループチャットで情報共有することは、認知度を大きく高め、被害に遭う割合を減らします。

GhostPairingのパターンはWhatsAppに限りません。QRコードや数値認証コードによるデバイス・ペアリングを採用するあらゆるプラットフォームが、同様の攻撃対象領域を抱えています。

デジタルサービスが「スマホで承認」型のワークフローにますます依存する中、サイレントなアカウント侵害を防ぐためには、分かりやすいデバイス連携インターフェースと、接続中セッションの可視性向上の重要性が一層高まっています。

翻訳元: https://gbhackers.com/ghostpairing-attack/

ソース: gbhackers.com
#GhostPairing Attack #WhatsApp #WhatsApp Web #アカウント乗っ取り #サイバーセキュリティ #ソーシャルエンジニアリング #デバイスペアリング #フィッシング #リンクドデバイス #二段階認証(2FA)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚