A Equipe de Resposta a Emergências de Computadores da Índia (CERT-In) emitiu um comunicado aos usuários indianos do WhatsApp, alertando-os sobre um novo recurso de “tethering de dispositivos” na plataforma de mídia social que pode permitir que invasores “sequestrem” contas. A campanha cibernética recentemente identificada será chamada de “GhostPairing”.
A mensagem, que tem classificação de gravidade “alta”, diz que o ataque começa quando a vítima recebe uma mensagem como “Oi, olha essa foto”, o que pode levar ao “sequestro” completo da conta do WhatsApp de um usuário. Notavelmente, o CERT-In é o principal órgão técnico do país responsável por combater ataques cibernéticos e proteger o espaço online da Índia.
O que é GhostPairing?
De acordo com o alerta do CERT-In, o GhostPairing permite que os cibercriminosos obtenham acesso total às contas do WhatsApp sem precisar inserir senhas ou alterar cartões SIM.
Este método usa o recurso de vinculação de dispositivos do WhatsApp, que permite que invasores assumam o controle de contas usando códigos de emparelhamento que não exigem autenticação adequada.
Quando uma conta é “sequestrada”, os invasores a utilizam para enviar mensagens aos contatos da vítima.
“Resumindo, o ataque GhostPairing engana os usuários para que forneçam acesso ao navegador do invasor como um dispositivo adicional confiável e oculto, usando um código de emparelhamento que parece genuíno”, disse a agência em comunicado.
Como funciona o “sequestro”?
O ataque começa com uma mensagem “Olá, veja esta foto” enviada por um contato que parece ser confiável. A mensagem contém um link que exibe uma visualização no estilo do Facebook.
Ao ser clicado, o link abre um visualizador falso do Facebook, solicitando que você “verifique” sua identidade para visualizar o conteúdo. Neste ponto, os invasores abusam do recurso “conectar dispositivo por número de telefone” do WhatsApp, enganando os usuários para que insiram números de telefone.
Ao seguir um conjunto de etapas curtas e aparentemente inócuas, as vítimas, sem saber, dão aos invasores acesso total às suas contas do WhatsApp. Isso acontece sem roubo de senha ou substituição do cartão SIM, disse o relatório.
O que os invasores podem acessar após um “sequestro”?
Quando um invasor conecta seu dispositivo, ele obtém acesso semelhante ao WhatsApp Web:
- Eles podem ler mensagens sincronizadas com seus dispositivos
- Eles recebem novas mensagens em tempo real
- Eles podem ver fotos, vídeos e notas de voz
- Eles podem enviar mensagens da conta da vítima
- Eles podem ter acesso a chats privados e conversas em grupo
O que fazer?
O comunicado sugere várias etapas para reduzir o risco de comprometimento ou sequestro de conta:
- Não clique em links suspeitos, mesmo que pareçam vir de contatos conhecidos.
- Nunca insira seu número de telefone em sites externos que pretendam estar relacionados ao WhatsApp ou Facebook.
- Verifique regularmente seus dispositivos conectados no WhatsApp. Abra o WhatsApp e vá em Configurações > Dispositivos conectados. Se você vir algum dispositivo que não reconhece, saia dele imediatamente.
Para organizações:
- Ofereça treinamento de segurança focado em ataques direcionados a aplicativos de mensagens.
- Aplique o gerenciamento de dispositivos móveis quando apropriado.
- Fique atento a sinais de tentativas de phishing e engenharia social.
- Protocolos de resposta a incidentes devem ser implementados para rápida detecção e resolução.
