Gen یک کمپین جدید برای تصاحب حساب‌های واتساپ کشف کرده است که ما از آن با عنوان «حمله GhostPairing» یاد می‌کنیم. در نگاه اول، این حمله بسیار ساده به نظر می‌رسد. قربانیان پیامی از یکی از مخاطبان خود دریافت می‌کنند که معمولاً مضمونی شبیه به این دارد:«سلام، همین الآن عکست رو پیدا کردم!»

پیام فریب‌دهنده‌ای که قربانی دریافت می‌کند

این پیام شامل لینکی است که به‌صورت پیش‌نمایشی شبیه به فیسبوک نمایش داده می‌شود. وقتی کاربران آن را باز می‌کنند، صفحه‌ای را می‌بینند که ظاهر یک نمایش‌دهنده‌ی فیسبوک را تقلید می‌کند و از آن‌ها می‌خواهد قبل از دیدن محتوا «تأیید» انجام دهند.

پس از آن، یک دنباله‌ی کوتاه از مراحل نمایش داده می‌شود که بسیاری از افراد بدون فکر کردن آن‌ها را طی می‌کنند. در پایان این مراحل، مهاجم بدون سرقت حتی یک رمز عبور، به دسترسی کامل به حساب واتساپ قربانی دست پیدا می‌کند.

این مقاله توضیح می‌دهد که ما چه چیزی را مشاهده کرده‌ایم، این حمله در عمل چگونه کار می‌کند، چه زیرساختی در آن دخیل است و کاربران برای محافظت از خود چه کارهایی می‌توانند انجام دهند.

ما از اصطلاح «حمله GhostPairing» استفاده می‌کنیم، زیرا قربانی فریب داده می‌شود تا فرایند رسمی جفت‌سازی دستگاه در خودِ واتساپ را تکمیل کند و در نتیجه، مرورگر مهاجم به‌عنوان یک دستگاه اضافی و نامرئی به حساب او اضافه می‌شود. در این حمله نه سرقت رمز عبور وجود دارد و نه تعویض سیم‌کارت (SIM swap)؛ بلکه کاربر با وارد کردن یک کد جفت‌سازی که شبیه فرایند عادی تأیید به نظر می‌رسد، عملاً خودِ مهاجم را تأیید می‌کند.

آنچه در دنیای واقعی مشاهده کردیم
این کمپین ابتدا در جمهوری چک (Czechia) شناسایی شد؛ جایی که حساب‌های به‌خطر‌افتاده شروع به ارسال پیام‌های کوتاه و غیررسمی برای مخاطبان محلی کردند. متن پیام‌ها کمی متفاوت بود، اما ساختار کلی آن‌ها ثابت می‌ماند. پیام‌ها کوتاه بودند، معمولاً به یک عکس اشاره می‌کردند و شامل لینکی بودند که در داخل واتساپ به‌شکل یک المان فیسبوکی نمایش داده می‌شد.

یک پیام فریب‌دهنده‌ی دیگر که از طریق واتساپ ارسال شده است

دامنه‌هایی که پشت این لینک‌ها قرار داشتند، اصلاً متعلق به فیسبوک نبودند. در عوض، آن‌ها به مجموعه‌ای از وب‌سایت‌های مشابه و فریبنده تعلق داشتند که نام‌هایی مرتبط با عکس یا پست داشتند؛ برای مثال:

  • photobox[.]life
  • postsphoto[.]life
  • yourphoto[.]life
  • photopost[.]live
  • yourphoto[.]world
  • top-foto[.]life
  • fotoface[.]top

مسیرهای (URL) این سایت‌ها اغلب شامل رشته‌هایی مانند /login/post.com یا /login/facepost.com بود که به حفظ این توهم کمک می‌کرد که کاربر در حال تعامل با نوعی صفحه ورود یا نمایش محتوای فیسبوک است.

اگرچه اولین نمونه‌های مشاهده‌شده مربوط به جمهوری چک بودند، اما هیچ‌چیز در این حمله به زبان وابسته نیست. همین الگو را می‌توان برای هر کشوری، تنها با تغییر متن پیام فریب‌دهنده، دوباره استفاده کرد.

نمایش‌دهنده‌ی جعلی که اصلاً ربطی به فیسبوک ندارد

وقتی کاربر روی لینک داخل پیام واتساپ کلیک می‌کند، وارد صفحه‌ای بسیار ساده و مینیمال می‌شود. این صفحه معمولاً دارای لوگو و رنگ‌های فیسبوک، چیدمانی ساده‌شده و دکمه‌ای است که از کاربر می‌خواهد برای دیدن عکس، ادامه دهد یا فرایند «تأیید» را انجام دهد.

این صفحه دو هدف دارد.

اول، ایجاد حس آشنایی که کاربر را به اعتماد به صفحه ترغیب می‌کند. افراد عادت دارند که فیسبوک هر از گاهی نوعی تأیید یا ورود مجدد درخواست کند. دیدن یک دکمه‌ی ورود یا مرحله‌ی تأیید، کاملاً عادی به نظر می‌رسد.

دوم، این صفحه نقش پنل کنترل مهاجم را ایفا می‌کند. صفحه هیچ ارتباطی با فیسبوک ندارد، بلکه به‌عنوان واسطه‌ای بین قربانی و زیرساخت قانونی WhatsApp Web عمل می‌کند؛ زیرساختی که مهاجم در حال سوءاستفاده از آن است.

بسته به نوع حمله، صفحه‌ی بعدی یکی از این دو حالت را نشان می‌دهد:

  • نمایش یک کد QR و درخواست از کاربر برای اسکن آن با واتساپ
  • نمایش یک کد عددی و درخواست از کاربر برای وارد کردن آن در واتساپ جهت تأیید ورود

هر دو مسیر به یک نتیجه منتهی می‌شوند، اما در ادامه توضیح داده خواهد شد که چرا معمولاً به‌جای کد QR از کد عددی استفاده می‌شود. در نهایت، مهاجم مرورگر خود را به‌عنوان یک دستگاه متصل (Linked Device) در حساب واتساپ قربانی ثبت می‌کند و به کنترل کامل پیام‌های شخصی، عکس‌ها و تمام فعالیت‌های کاربر در پلتفرم واتساپ دسترسی پیدا می‌کند.

مروری کوتاه بر اتصال / جفت‌سازی دستگاه‌ها در واتساپ

برای درک نحوه‌ی سوءاستفاده، بهتر است ابتدا به‌طور خلاصه ببینیم اتصال دستگاه‌ها در واتساپ اصولاً چگونه قرار است کار کند.

وقتی افراد از WhatsApp Web یا نسخه‌ی دسکتاپ استفاده می‌کنند، حساب جداگانه‌ای ایجاد نمی‌شود؛ بلکه یک دستگاه جدید به حساب موجود آن‌ها متصل (لینک) می‌شود. واتساپ بیش از یک روش برای این کار ارائه می‌دهد:

  1. روشی که بیشتر افراد می‌شناسند: باز کردن واتساپ، اسکن کد QR نمایش‌داده‌شده در دسکتاپ یا مرورگر، و تأیید نشست جدید.
  2. یک گزینه‌ی کمتر شناخته‌شده: اتصال یک دستگاه با استفاده از شماره تلفن حساب و یک کد عددی جفت‌سازی که کاربر باید آن را در اپلیکیشن تأیید کند.

هر دو روش، قابلیت‌های کاملاً قانونی هستند و برای این طراحی شده‌اند که اتصال یک لپ‌تاپ یا مرورگر جدید را بدون نیاز به وارد کردن مکرر اطلاعات ورود آسان‌تر کنند. علاوه بر این، هر دو روش می‌توانند در صورتی که فردی صاحب حساب را به همکاری ترغیب کند، مورد سوءاستفاده قرار گیرند.

کمپینی که ما تحلیل کردیم دقیقاً همین کار را انجام می‌دهد.

اتصال مبتنی بر کد QR – از نظر فنی ممکن، اما در عمل نادر

از نظر تئوری، مهاجمان می‌توانند همین کلاه‌برداری را با استفاده از اتصال مبتنی بر کد QR در واتساپ انجام دهند. در آزمایش‌های ما، این روش از نظر فنی کار می‌کند، اما برای قربانیان واقعی بسیار غیرعملی است.

برای سوءاستفاده از این فرایند، مهاجم باید WhatsApp Web را در مرورگر خود باز کند، کد QR نمایش‌داده‌شده را استخراج کرده و آن را در صفحه‌ی جعلی نمایش‌دهنده‌ی فیسبوک قرار دهد. سپس به قربانی گفته می‌شود که برای «دیدن عکس»، واتساپ را باز کند، به بخش Linked Devices برود و آن کد QR را اسکن کند. از دید واتساپ، صاحب حساب در این لحظه یک دستگاه جدید را تأیید کرده است و مرورگر مهاجم یک نشست کاملاً مجاز دریافت می‌کند.

اما در عمل، یک مشکل بزرگ در تجربه‌ی کاربری وجود دارد. بیشتر افراد هم واتساپ و هم مرورگر را روی یک گوشی اجرا می‌کنند. اسکن کردن کد QR که روی همان دستگاهی نمایش داده می‌شود که در حال استفاده از آن هستید، در بهترین حالت دشوار و در بسیاری از موارد بدون داشتن یک صفحه‌نمایش دوم، گوشی دیگر یا تبلت، عملاً غیرممکن است. همه‌ی ما نمونه‌های خاصی را دیده‌ایم که این کار در شرایط قانونی انجام می‌شود، اما این چیزی نیست که بتوان یک کلاه‌برداری گسترده را بر پایه‌ی آن بنا کرد.

به همین دلیل، در فعالیت‌هایی که ما مشاهده کرده‌ایم، مهاجمان به‌جای آن از فرایند مبتنی بر شماره تلفن و کد جفت‌سازی استفاده می‌کنند. این روش به همان نتیجه‌ی نهایی منتهی می‌شود، اما شبیه یک فرایند عادی «تأیید دومرحله‌ای» به نظر می‌رسد و می‌تواند به‌طور کامل روی یک دستگاه انجام شود؛ موضوعی که آن را برای سوءاستفاده در مقیاس بزرگ بسیار جذاب‌تر می‌کند.

سوءاستفاده از شماره تلفن و کدهای جفت‌سازی

نسخه‌ای که از کد عددی استفاده می‌کند، کمی پیچیده‌تر و — به‌نوعی — خطرناک‌تر است، زیرا شباهت بسیار بیشتری به احراز هویت دومرحله‌ای دارد. این روش همچنین رایج‌ترین شیوه‌ای است که این کلاه‌برداری با آن اجرا می‌شود.

در این سناریو، صفحه‌ی جعلی کاربر را تشویق می‌کند شماره تلفن خود را وارد کند. سپس این صفحه به‌عنوان یک واسطه (Proxy) برای نقطه‌ی اتصال واقعی واتساپ جهت جفت‌سازی دستگاه عمل می‌کند.

روندی که در پشت صحنه اتفاق می‌افتد به این شکل است:

  1. قربانی شماره تلفن خود را در صفحه‌ی جعلی وارد می‌کند.
  2. صفحه، این شماره را به قابلیت قانونی واتساپ با عنوان «اتصال دستگاه از طریق شماره تلفن» ارسال می‌کند.
  3. واتساپ یک کد جفت‌سازی تولید می‌کند که قرار است فقط توسط صاحب حساب مشاهده شود.
  4. وب‌سایت مهاجم این کد را دریافت کرده و آن را همراه با متنی نمایش می‌دهد که القا می‌کند کاربر باید «این کد را برای تأیید ورود و دیدن عکس، در واتساپ وارد کند».
  5. قربانی واتساپ را باز می‌کند، درخواست جفت‌سازی را می‌بیند و کد را وارد می‌کند، با این تصور که در حال تکمیل یک بررسی امنیتی است.

از دید قربانی، این فرایند کاملاً شبیه یک تأیید هویت استاندارد است. او نمونه‌های مشابهی از این مراحل را در بسیاری از سرویس‌های دیگر دیده است.

اما از دید واتساپ، صاحب حساب به‌تازگی با وارد کردن کد صحیح، یک دستگاه جدید را به حساب خود متصل و تأیید کرده است.

در نهایت، نتیجه همان است: مرورگر مهاجم به‌عنوان یک دستگاه مورد اعتماد به حساب واتساپ قربانی اضافه می‌شود.


صفحه‌ی جعلی فیسبوک که پس از کلیک روی لینک دریافت‌شده در واتساپ نمایش داده می‌شود

اعلان (نوتیفیکیشن) واتساپ هنگام ارسال شماره تلفن به مهاجم

کدی که توسط مهاجمان ارسال می‌شود تا حساب واتساپ قربانی را به خطر بیندازند

مهاجم پس از اتصال چه کارهایی می‌تواند انجام دهد

پس از آن‌که دستگاه مهاجم به حساب متصل شد، دیگر نیازی به سوءاستفاده‌ی اضافی وجود ندارد. مهاجم دقیقاً همان قابلیت‌هایی را در اختیار دارد که هر کاربر عادی هنگام اتصال WhatsApp Web روی رایانه‌ی شخصی خود دارد.

در عمل، این قابلیت‌ها شامل موارد زیر است:

  • خواندن گفت‌وگوهای قبلی، تا حدی که همگام‌سازی (Sync) انجام شده باشد.
  • دریافت پیام‌های جدید به‌صورت لحظه‌ای.
  • مشاهده و دانلود رسانه‌ها مانند عکس‌ها، ویدئوها و پیام‌های صوتی.
  • جمع‌آوری اطلاعات حساس به‌اشتراک‌گذاشته‌شده بین دوستان، مانند آدرس‌ها، ایمیل‌ها، کدها و لینک‌ها که می‌توانند بعداً مورد سوءاستفاده قرار گیرند یا فروخته شوند.
  • ارسال پیام به افراد و گروه‌ها به‌جای قربانی.
  • فوروارد کردن همان پیام فریب‌دهنده به تعداد زیادی از مخاطبان با حداقل تلاش.

این نوع حمله، تصاحب سنتی حساب به معنای تغییر رمز عبور یا قفل کردن صاحب حساب نیست. تلفن قربانی همچنان به‌طور عادی کار می‌کند. بسیاری از قربانیان حتی متوجه نمی‌شوند که یک دستگاه دوم در پس‌زمینه به حساب آن‌ها اضافه شده است؛ و همین موضوع این کلاه‌برداری را خطرناک‌تر می‌کند، زیرا مجرمان عملاً در حساب شما پنهان می‌شوند و بدون آن‌که بدانید، تمام مکالماتتان را زیر نظر دارند.

در مشاهدات ما، اعمال محدودیت‌ها یا اقدامات جزئی همیشه باعث قطع شدن نشست دستگاه متصل نمی‌شود. مگر این‌که قربانی به بخش تنظیمات (Settings) برود و دستگاه‌های ناشناس را حذف کند، ممکن است مهاجم همچنان به دسترسی خود ادامه دهد.

چگونه قربانیان به مهاجمان GhostPairing تبدیل می‌شوند

مکانیزم گسترش این حمله ساده اما بسیار مؤثر است، زیرا بر پایه‌ی روابط واقعی بنا شده است. وقتی مهاجم به یک حساب دسترسی پیدا می‌کند، می‌تواند از همان حساب برای ارسال متن فریب‌دهنده‌ای که پیش‌تر به آن اشاره شد، به مخاطبان و گروه‌های آن فرد استفاده کند. چت‌های خانوادگی، گروه‌های مدرسه، تیم‌های ورزشی و گفت‌وگوهای کاری همگی فرصت‌هایی برای انتشار حمله هستند.

دریافت‌کنندگان پیام، یک متن بسیار کوتاه و غیررسمی را از طرف فردی می‌بینند که او را می‌شناسند. هیچ شماره‌ی ناآشنایی وجود ندارد، خطای نگارشی آشکاری دیده نمی‌شود و توضیح طولانی‌ای هم ارائه نمی‌شود. این سبک مینیمال معمولاً باعث کاهش سوءظن می‌شود.

برخی گیرندگان روی لینک کلیک می‌کنند و برخی نه. کسانی که کلیک می‌کنند و مرحله‌ی اتصال را کامل انجام می‌دهند، به حساب‌های جدیدِ به‌خطر‌افتاده تبدیل می‌شوند. این حساب‌ها نیز به نوبه‌ی خود می‌توانند برای دسترسی به مجموعه‌های تازه‌ای از مخاطبان استفاده شوند؛ مخاطبانی که مهاجم اولیه حتی از وجود آن‌ها خبر نداشته است. به این ترتیب، حمله مانند یک گلوله‌ی برفی بزرگ و بزرگ‌تر می‌شود.

این همان چیزی است که این کمپین را کارآمد می‌کند: این حمله متکی به ارسال اسپم تصادفی نیست، بلکه بر اعتماد موجود بین افراد سوار می‌شود.

چرا این روش نگران‌کننده است

چندین جنبه از این تکنیک وجود دارد که شایسته‌ی توجه ویژه هستند.

اول این‌که این حمله متکی به سرقت اسرار نیست. نه فیشینگ رمز عبوری در کار است، نه رهگیری پیامک (SMS)، و نه دور زدن مستقیم سازوکار احراز هویت. همه‌چیز کاملاً در چارچوب قابلیت‌هایی اتفاق می‌افتد که خودِ واتساپ برای آن‌ها طراحی شده است.

دوم، پیام فریب‌دهنده بسیار باورپذیر است. برای بسیاری از کاربران، این‌که «فیسبوک از شما می‌خواهد چیزی را در واتساپ تأیید کنید» به‌طور بدیهی نادرست به نظر نمی‌رسد. کدها و اسکن QR به بخشی از زندگی روزمره‌ی آنلاین تبدیل شده‌اند، به‌ویژه در محیط‌های موبایلی.

سوم، این روش دسترسی مداوم ایجاد می‌کند. دستگاه‌های متصل با بستن یک تب مرورگر از بین نمی‌روند؛ آن‌ها تا زمانی که به‌صورت دستی لغو نشوند، فعال باقی می‌مانند. اگر کاربر عادت نداشته باشد فهرست دستگاه‌های متصل واتساپ را بررسی کند، مهاجم می‌تواند برای مدت طولانی متصل بماند.

در نهایت، این حمله راه را برای چیزی فراتر از ارسال اسپم ساده باز می‌کند. با دسترسی به مکالمات و رسانه‌ها، مهاجم می‌تواند یاد بگیرد افراد چگونه صحبت می‌کنند، چه کسانی برایشان مهم هستند و به چه چیزهایی احتمالاً واکنش نشان می‌دهند. پیام‌های صوتی و عکس‌ها می‌توانند بعدها در تلاش‌های کلاه‌بردارانه و جعل هویت، از جمله کلاه‌برداری‌های تقویت‌شده با دیپ‌فیک، یا حتی اخاذی مورد استفاده قرار گیرند.

به بیان دیگر، این حمله نمونه‌ی روشنی از ترکیب مهندسی اجتماعی با زیرساخت‌های قانونی برای ایجاد یک روش نفوذ بسیار مؤثر است.

زیرساخت و رفتار شبیه به کیت‌های آماده

با بررسی دامنه‌ها و قالب‌های مورد استفاده، نشانه‌های قوی وجود دارد که حمله‌ی GhostPairing توسط یک کیت قابل استفاده‌ی مجدد هدایت می‌شود؛ کیتی که مهاجمان می‌توانند آن را خریداری و توزیع کنند، نه یک پروژه‌ی تک‌باره.

چیدمان یکسانی در چندین دامنه دیده می‌شود. ایده‌ی نمایش‌دهنده‌ی فیسبوک بارها با تغییرات جزئی تکرار شده است. نام دامنه‌ها نیز الگوی مشابهی دارند و حول محور عکس و پست می‌چرخند، با ترکیبی از دامنه‌های عمومی (TLD).

از دید عملیاتی، این موضوع بسیار کاربردی است. اگر یک دامنه مسدود یا گزارش شود، به‌راحتی کنار گذاشته شده و دامنه‌ی دیگری با همان فایل‌ها جایگزین می‌شود. خریدار چنین کیتی می‌تواند پیکربندی دلخواه خود را اعمال کند—مثلاً متنی متناسب با یک منطقه‌ی خاص یا، با گسترش کلاه‌برداری، حتی متنی مخصوص یک فرد مشخص—و بلافاصله ارسال پیام‌های فریب‌دهنده را آغاز کند.

کارهایی که افراد می‌توانند برای محافظت از خود انجام دهند

برای کاربران عادی، مهم‌ترین اقدامات ساده هستند و به دانش فنی نیاز ندارند.

اولین قدم، بررسی دستگاه‌های متصل است:

  1. واتساپ را باز کنید.
  2. به مسیر Settings → Linked Devices بروید.
  3. فهرست نشست‌های فعال را بررسی کرده و از هر موردی که نمی‌شناسید خارج شوید (Log out).

انجام این کار حتی یک‌بار، تمام نشست‌هایی را که توسط چنین کلاه‌برداری‌هایی ایجاد شده‌اند حذف می‌کند. انجام دوره‌ای آن نیز کمک می‌کند مشکلات احتمالی آینده زودتر شناسایی شوند.

دستگاه‌های متصل که یک نشست مرورگر ناشناس را نشان می‌دهند

دوم، هرگونه درخواست برای اسکن کد QR واتساپ یا وارد کردن کد عددی از یک وب‌سایت را مشکوک بدانید. اتصال دستگاه واتساپ باید از داخل خود اپلیکیشن و در پاسخ به یک اقدام عمدی کاربر انجام شود، نه این‌که یک سایت خارجی به شما بگوید این کار برای مشاهده یک فایل لازم است.

سوم، فعال‌سازی تأیید دو مرحله‌ای (Two Step Verification) در واتساپ یک سد امنیتی اضافی در برابر انواع دیگر سوءاستفاده‌های حساب ایجاد می‌کند. این اقدام راه‌حل کامل نیست، اما دامنه‌ی کاری که مهاجم پس از دسترسی به حساب می‌تواند انجام دهد را محدود می‌کند.

در نهایت، به اشتراک گذاشتن اطلاعات درباره‌ی این نوع کلاه‌برداری با اعضای خانواده و گروه‌های چت بسیار مؤثر است. بسیاری از قربانیان روی لینک کلیک می‌کنند زیرا قبلاً چنین چیزی را تجربه نکرده‌اند. وقتی مردم بدانند که پیام‌های «عکس تو را پیدا کردم» می‌توانند پشت خود یک ترفند اتصال حساب مخفی کنند، احتمال پیروی از این سناریو بسیار کاهش می‌یابد.

-------------------------------------

پلتفرم‌ها چه بهبودهایی می‌توانند ایجاد کنند

در حالی که آگاهی کاربران ضروری است، پلتفرم‌ها نیز می‌توانند تغییراتی را مدنظر قرار دهند.

شفاف‌سازی پیام‌ها درباره‌ی اتصال دستگاه‌ها می‌تواند بسیار کمک‌کننده باشد. اگر کاربران با متنی بزرگ، واضح و غیرقابل‌چشم‌پوشی مواجه شوند که توضیح دهد در آستانه‌ی دادن دسترسی کامل به تمام پیام‌ها و رسانه‌ها به یک دستگاه جدید هستند، برخی از آن‌ها مکث خواهند کرد.

ارائه‌ی اطلاعات زمینه‌ای بهتر درباره‌ی رویدادهای اتصال و جفت‌سازی نیز مفید است. نمایش نوع دستگاه، مرورگر، موقعیت مکانی تقریبی، و این‌که درخواست از یک وب‌سایت آغاز شده نه از داخل اپلیکیشن، می‌تواند کاربران را ترغیب کند در صورت مشکوک بودن شرایط، فرایند را لغو کنند.

محدودسازی نرخ (Rate Limiting) تلاش‌های اتصال دستگاه—به‌ویژه زمانی که تعداد زیادی شماره تلفن از یک زیرساخت مشترک درگیر هستند—هزینه‌ی اجرای حمله را برای مهاجمان افزایش می‌دهد. همچنین، لغو خودکار نشست‌های تازه‌متصل‌شده در صورتی که ارسال اسپم یا سوءاستفاده در یک حساب تأیید شود، می‌تواند بازه‌ی زمانی سوءاستفاده را کوتاه‌تر کند.

هیچ‌یک از این اقدامات به‌تنهایی چنین حملاتی را به‌طور کامل از بین نمی‌برد، اما در کنار هم می‌توانند جذابیت آن‌ها را به‌طور قابل‌توجهی کاهش دهند.

فراتر از واتساپ: جفت‌سازی به‌عنوان یک سطح حمله‌ی گسترده‌تر

GhostPairing صرفاً یک ترفند عجیب و تک‌موردی در یک اپلیکیشن نیست؛ بلکه یک مطالعه‌ی موردی است از این‌که وقتی یک فرایند جفت‌سازی در مقیاس بزرگ مورد سوءاستفاده قرار می‌گیرد چه اتفاقی می‌افتد. واتساپ با میلیاردها کاربر و نقشی رو‌به‌افزایش در ارتباطات روزمره و کاری، هدفی طبیعی است، اما الگوی پشت GhostPairing ماهیتی عمومی‌تر دارد.

از نظر مفهومی، همین ریسک در هر جایی وجود دارد که این شرایط برقرار باشد:

  1. یک کد QR، صفحه‌ی ورود کد، یا اعلان تأییدی که اجازه می‌دهد یک دستگاه جدید به یک حساب موجود متصل شود.
  2. یک دستگاه اصلیِ مورد اعتماد که آن درخواست را اسکن یا تأیید می‌کند.
  3. نشستی که در نتیجه ایجاد می‌شود، طولانی‌مدت است و تا حد زیادی از دید کاربر پنهان می‌ماند.

اگر این سه شرط هم‌زمان وجود داشته باشند، مهاجمی که بتواند کد QR یا درخواست جفت‌سازی را کنترل کند و قربانی را به تعامل با آن متقاعد سازد، مسیر واقع‌بینانه‌ای برای ایجاد «یک دستگاه شبح‌گونه» (Ghost Device) در اختیار خواهد داشت.

بسیاری از سرویس‌های مدرن به شکلی از این الگو پیروی می‌کنند؛ از پیام‌رسان‌هایی با نسخه‌ی وب یا دسکتاپ گرفته تا ابزارهای همکاری، شبکه‌های اجتماعی و اکوسیستم‌های حساب کاربری که به اعلان‌های «روی گوشی تأیید کن» متکی هستند. اغلب این سرویس‌ها بررسی‌های اضافه‌ای مانند نمایش جزئیات دستگاه، موقعیت مکانی یا تطبیق عددی اضافه می‌کنند که سوءاستفاده را دشوارتر می‌کند، اما وابستگی اصلی را تغییر نمی‌دهد: یک کلیک یا ورود کدِ ناشی از حواس‌پرتی روی دستگاه اصلی می‌تواند یک نشست ناشناس را در جای دیگری فعال کند.

ما ادعا نمی‌کنیم که کمپین‌هایی مشابه GhostPairing هم‌اکنون در تمام این اکوسیستم‌ها در حال اجرا هستند. اما آنچه می‌توان با اطمینان گفت این است که:

  • الگوی طراحی‌ای که GhostPairing را ممکن کرد، منحصر به واتساپ نیست.
  • هر پلتفرمی که جفت‌سازی بسیار آسان را با دیدپذیری پایین دستگاه‌های متصل ترکیب کند، عملاً ابزار لازم را در اختیار مهاجمان قرار می‌دهد.

از این منظر، GhostPairing باید به‌عنوان یک هشدار خوانده شود، نه صرفاً یک رخداد مربوط به واتساپ. هرچه زندگی دیجیتال ما بیشتر به اسکن سریع کدهای QR و فرایندهای «روی گوشی تأیید کن» وابسته می‌شود، اهمیت طراحی این مراحل به‌گونه‌ای که یک لحظه بی‌توجهی منجر به ایجاد بی‌سروصدای یک دستگاه شبح‌گونه برای ماه‌ها نشود، بیشتر خواهد شد.

نتیجه‌گیری

کمپینی که در اینجا توصیف شد، یک تغییر ظریف در شیوه‌ی عملکرد برخی مهاجمان را نشان می‌دهد. به جای شکستن رمزنگاری یا دور زدن سیستم احراز هویت، آن‌ها از محصول دقیقا همان‌طور که طراحی شده است استفاده می‌کنند و کاربران را در لحظه‌ی مناسب متقاعد به همکاری می‌کنند.

با سوءاستفاده از قابلیت‌های اتصال دستگاه در واتساپ و ارائه‌ی آن‌ها در قالبی آشنا، مهاجمان قادرند نفوذی پاک و مداوم به حساب ایجاد کنند، با حداقل تلاش فنی.

این تکنیک محدود به یک کشور یا یک پلتفرم نیست. هر سرویس یا اپلیکیشنی که اجازه‌ی جفت‌سازی دستگاه از طریق کد QR یا کد عددی را بدهد، می‌تواند هدف سوءاستفاده مشابه باشد.

حملات GhostPairing نمونه‌ی خوبی است از این‌که چگونه مهندسی اجتماعی و قابلیت‌های قانونی می‌توانند ترکیب شده و به نفوذهای بسیار مؤثر منجر شوند. مهاجم هرگز رمزنگاری را نمی‌شکند، بلکه کاربر را متقاعد می‌کند تا آن‌ها را به‌عنوان یک دستگاه متصل دعوت کند.

خبر خوب این است که راه دفاع در دسترس است. ترکیبی از آگاهی کاربران، بررسی‌های ساده‌ی بهداشت دیجیتال و تغییرات کوچک در پلتفرم‌ها می‌تواند به‌طور قابل‌توجهی اثر این نوع کلاه‌برداری را کاهش دهد.