脅威アクターが、正規のデバイス連携機能を悪用し、GhostPairingと呼ばれるキャンペーンでペアリングコードを介してWhatsAppアカウントを乗っ取っています。
この種の攻撃では認証は一切不要で、被害者がだまされて攻撃者のブラウザをWhatsAppデバイスに連携してしまいます。
これにより、脅威アクターは会話履歴全体と共有メディアにアクセスでき、得た情報を利用してユーザーになりすましたり詐欺を行ったりする可能性があります。
Gen Digital(旧Symantec CorporationおよびNortonLifeLock)は、このキャンペーンがチェコで最初に確認されたとしつつも、拡散メカニズムにより他地域へ広がる可能性があると警告しています。侵害されたアカウントが踏み台となり、新たな標的へ到達するためです。
GhostPairingの仕組み
攻撃は、知人の連絡先からの短いメッセージで始まり、被害者のオンライン写真につながるとされるリンクが共有されます。信頼感を与えるため、リンクはFacebookのコンテンツプレビューとして表示されます。
出典: Gen Digital
さらに、そのリンクは、タイポスクワッティングされた、またはよく似たドメイン上でホストされた偽のFacebookページへ被害者を誘導し、コンテンツにアクセスする前にログインしてユーザー認証を行う必要があると案内します。
この認証ページは欺瞞的で、実際にはWhatsAppのデバイス・ペアリング手順を起動します。被害者は電話番号の入力を求められ、攻撃者はそれを使って正規のデバイス連携またはログイン手続きを開始します。
出典: Gen Digital
WhatsAppはペアリングコードを生成し、攻撃者はそれを偽ページ上に表示します。WhatsAppはまた、新しいデバイスをアカウントに連携するためにコードを入力するよう被害者に促します。
WhatsAppのメッセージには、アカウントに新しいデバイスを連携しようとしている通知であることが明確に示されていますが、ユーザーは見落としがちです。
被害者がペアリングコードを入力すると、攻撃者は保護機能を回避する必要もなく、アカウントへ完全にアクセスできるようになります。
WhatsApp Webは新着メッセージへのリアルタイムアクセスを提供し、共有メディアの閲覧やダウンロードを可能にします。メッセージの送信や、同じ誘い文句を利用可能な連絡先やグループへ転送することにも使われます。
「多くの被害者は、背後で2台目のデバイスが追加されたことに気づいていません。これが詐欺をさらに危険にしています。犯罪者はあなたのアカウントに潜み、あなたが気づかないまま、あらゆる会話を監視しているのです」と、Gen Digitalは警告しています。
侵害を見つける唯一の方法は、[設定]→[リンク済みデバイス]に移動し、アカウントに連携されている不正なデバイスがないか確認することです。
ユーザーには、不審なメッセージをブロックして報告し、二要素認証によるアカウント保護を有効にすることが推奨されています。行動を急かされた場合は、必ず時間を取り、受け取ったメッセージが筋が通っているか、連絡してきた人物が本当に名乗っている本人なのかを分析すべきです。
なお、デバイスの連携は、モバイル版WhatsAppアプリでQRコードをスキャンして行うことも可能です。
この機能は複数のメッセージングアプリで利用可能であり、過去には注目対象のSignalアカウントへアクセスするために、ロシアの脅威アクターによって悪用されたこともあります。
