サイバーニュース.jp

世界のサイバーなニュースを配信

WhatsAppアカウントが電話番号経由で完全に乗っ取られる「GhostPairing攻撃」が発覚

カテゴリ:

はじめに:「GhostPairing攻撃」とは

新たに「GhostPairing攻撃」と名付けられた巧妙なWhatsAppアカウント乗っ取りキャンペーンが浮上し、パスワード窃盗やSIMスワップなしに被害者のアカウントへの

完全なアクセスを可能にすることが判明しました。セキュリティ研究機関Genは、WhatsAppの正当なデバイスペアリング機能を悪用し、複数の国でアカウントを密かに侵害するこの高度なソーシャルエンジニアリングの手口を明らかにしました。

攻撃の仕組み:デバイスペアリングの悪用

GhostPairing攻撃は、WhatsAppを介して送信される欺瞞的な誘い出しメッセージから始まります。被害者は通常、侵害された連絡先から「やあ、あなたの写真を見つけたよ!」といったメッセージを受信し、メッセージアプリ内にFacebook風のプレビューとして表示されるリンクが添付されています。

ユーザーがこのリンクをクリックすると、Facebookのログインインターフェースを装ったミニマリストなページに誘導されます。このページは、信頼を確立するためにFacebookのブランドや色を模倣しており、写真を閲覧する前に身元を「確認」または「認証」するよう要求します。

しかし実際には、この偽のページは攻撃者のコントロールパネルとして機能し、WhatsAppの正規のデバイスリンクインフラストラクチャへのリクエストをプロキシします。被害者が偽のページに電話番号を入力すると、攻撃者のサイトはその情報をWhatsAppの正規のデバイスリンクエンドポイントに転送します。WhatsAppはアカウント所有者のみを対象とした認証コードを生成しますが、攻撃者はこれを傍受し、検証プロセスの一部であるかのように被害者に表示します。被害者がこのコードをWhatsAppに入力すると、

知らず知らずのうちに攻撃者のブラウザをアカウントにリンクされたデバイスとして承認してしまいます。WhatsAppの観点からは、正規のアカウント所有者が新しいセッションを許可したことになります。このプロセス全体が標準的な二要素認証に似ているため、多くのユーザーは疑うことなく完了してしまいます。

攻撃インフラストラクチャとその影響範囲

このキャンペーンは、チェコで最初に確認され、侵害されたアカウントが地域の連絡先に誘い出しメッセージを配信し始めました。研究者たちは、photobox[.]life、postsphoto[.]life、yourphoto[.]life、fotopost[.]liveなど、攻撃インフラ全体で使用されている類似ドメインのクラスターを特定しました。これらのドメインは一貫したパターンに従っており、GhostPairing攻撃が、犯罪者がさまざまな地域やターゲットグループ向けに購入およびカスタマイズできる

再利用可能なキットとして運用されていることを示唆しています。

誘い出しメッセージの言語的なバリエーションは、攻撃テンプレートがどの国にも迅速に適用できることを示しており、世界的に大きな可能性を秘めたスケーラブルな脅威となっています。攻撃者が被害者のアカウントにリンクされると、WhatsApp Webセッションと同等の

包括的なアクセス権を獲得します。これには、過去の会話の閲覧、リアルタイムでのメッセージ受信、写真や動画などのメディアへのアクセスとダウンロード、住所や認証コードなどの機密情報の収集が含まれます。最も危険なのは、攻撃者がメッセージを送信し、誘い出しコンテンツを被害者の連絡先に転送できるため、元の被害者が気づかないうちにアカウント侵害が急速に拡散する可能性があることです。この攻撃は、被害者が手動でリンクされたデバイスを取り消すまでアクティブな状態が続く、永続的なアクセスを作成します。多くのユーザーは、不正なセッションが存在することに気づかず、攻撃者が会話を無期限に監視することを許してしまいます。

予防措置

  • 直ちにWhatsAppの「設定」→「リンク済みデバイス」に移動してリンクされたデバイスを確認し、認識できないセッションからログアウトしてください。
  • 外部ウェブサイトからQRコードのスキャンや数字コードの入力を要求するような要求は、

    常に疑ってかかることが重要です。

  • WhatsAppの二段階認証を有効にすることで、さらなる保護が得られます。ただし、この種の攻撃を完全に防ぐものではありません。
  • GhostPairingに関する情報を連絡先やグループチャットで共有することで、認識が高まり、被害に遭う割合を大幅に減らすことができます。

WhatsApp以外のプラットフォームへの影響

GhostPairingのパターンはWhatsAppに留まりません。QRコードや数字認証コードを介したデバイスペアリングを採用しているプラットフォームは、すべて同様の攻撃対象となり得ます。デジタルサービスが「スマートフォンでの承認」ワークフローにますます依存するようになるにつれて、透過的なデバイスリンクインターフェースと、接続されたセッションの可視性の向上が、密かなアカウント侵害を防ぐ上で極めて重要になります。

元記事: https://gbhackers.com/ghostpairing-attack/

投稿をさらに読み込む