Na WhatsAppu se šíří nový podvod, který ovšem vůbec nevypadá jako hackerský útok. Žádná krádež hesla. Žádné narušení zabezpečení. Žádné zjevné varovné signály. Místo toho jsou lidé trikem donuceni, aby útočníkům sami poskytli přístup, a to pouhým provedením toho, co vypadá jako běžný ověřovací krok.

Bezpečnostní experti Avastu tento nový typ útoku nazývají ghostpairing, protože útočníci si při něm tiše vytvářejí „zařízení duchů“, které žije uvnitř vašeho účtu.

Začíná to zprávou od někoho, komu důvěřujete

Podvod obvykle začíná krátkou, nenucenou zprávou od někoho, koho na WhatsAppu znáte. Často vypadá takto:

„Ahoj, zrovna jsem našel tvou fotku!“

Úvodní zpráva, která má oběť nalákat

Není na tom nic zjevně podezřelého. Žádné podivné telefonní číslo. Žádné dlouhé vysvětlování. Jen známý kontakt a odkaz.

Když na odkaz kliknete, otevře se stránka, která vypadá jako Facebook – stejné barvy, logo i rozvržení webu. Stránka vám sdělí, že před zobrazením fotografie musíte ověřit svou totožnost.

Mnoho lidí klikne, aniž by se nad tím dvakrát zamyslelo.

Ale v tom je ta past.

Falešná stránka Facebooku vůbec není o Facebooku

Stránka, kterou vidíte, nemá s Facebookem ve skutečnosti nic společného. Je to napodobenina webu navržená tak, aby působila povědomě a bezpečně.

Její skutečný účel je však zcela odlišný. Místo krádeže vašeho přihlášení k Facebooku vás stránka tajně provede procesem připojení nového zařízení k vašemu WhatsApp účtu. Tedy stejnou funkcí, kterou lidé používají, když se chtějí na WhatsApp připojit z počítače nebo jiného telefonu.

Falešná stránka Facebooku vyžaduje přihlášení pomocí telefonního čísla

V tomto případě si však na konci procesu ke svému účtu nevědomky připojíte zařízení útočníka.

Z pohledu aplikace WhatsApp vše vypadá legitimně. Vždyť jste to shválili.

Jak se útočníci dostanou do vašeho WhatsAppu bez hesla?

WhatsApp umožňuje uživatelům propojit nová zařízení dvěma způsoby:

• Naskenováním QR kódu
• Zadáním číselného párovacího kódu vázaného na vaše telefonní číslo

Tento podvod využívá především možnost číselného kódu, protože funguje i jen s jedním telefonem a působí jako běžný bezpečnostní krok.

Co se ale děje v zákulisí?

1. Falešná stránka požádá o vaše telefonní číslo.
2. WhatsApp odešle skutečný párovací kód určený pro vás.
3. Podvodná stránka vám tento kód ukáže a vyzve vás, abyste jej zadali do WhatsAppu a mohli tak pokračovat.
4. Zadáte kód v domnění, že potvrzujete něco neškodného.
5. Prohlížeč útočníka je nyní propojen s vaším účtem.

Podvodníci vám nekradou žádná hesla, ani neprolomili žádné bezpečnostní systémy. Nevědomky jste je pozvali dovnitř.

Co podvodníci vidí a mohou dělat, jakmile jsou uvnitř

Jakmile útočník připojí své zařízení k vašemu účtu, získá k němu stejný přístup, jaký byste měli vy, pokud byste se přihlašovali z prohlížeče nebo jiného telefonu.

Útočníci:

• mohou číst zprávy, které se synchronizují do jejich zařízení.
• dostávají nové zprávy v reálném čase.
• mohou prohlížet fotografie, videa a hlasové zprávy.
• mohou posílat zprávy vaším jménem.
• mohou psát vašim kontaktům a do skupinových chatů.

Nejděsivější na tom je, že váš telefon nadále funguje normálně, aniž byste cokoliv tušili. Útočník může tiše sedět, číst konverzace a sledovat, jak spolu lidé komunikují, celé dny nebo týdny.

Proč se podvod šíří tak rychle?

Po převzetí jednoho účtu jej útočníci zneužijí k zasílání zpráv kontaktům dané osoby – rodinným skupinám, přátelům, do pracovních konverzací. Zpráva přichází od někoho, koho lidé znají, a proto působí bezpečně. Někteří lidé kliknou, někteří ne. Ti, kteří kliknou, se stávají dalšími oběťmi.

Vytváří se tak efekt sněhové koule, který umožňuje rychlé šíření podvodu bez nevyžádané pošty (spamu) nebo náhodných zpráv.

Proč je tento podvod obzvláště znepokojivý

Tento útok vyčnívá z několika důvodů:

• Využívá funkce WhatsAppu přesně tak, jak byly navrženy.
• Působí jako běžný ověřovací krok.
• Neodpírá obětem přístup k jejich účtům.
• Propojená zařízení zůstávají aktivní, dokud je uživatel ručně neodebere.

Jinými slovy, je tichý, vytrvalý a snadno přehlédnutelný.

A jakmile mají útočníci přístup ke konverzacím, mohou tyto informace později využít k cílenějším podvodům, vydávání se za jinou osobu nebo dokonce k vydírání.

Jak se před podvodem chránit?

Stačí dodržet jen několik základních kroků a budete mít jistotu, že jste před tímto útokem v bezpečí.

1. Zkontrolujte svá propojená zařízení
   • Otevřete WhatsApp a přejděte na Nastavení → Propojená zařízení.
   • Pokud vidíte jakékoli zařízení, které nepoznáváte, okamžitě jej odstraňte. Tím zabráníte nežádoucím osobám v přístupu k účtu.
2. Buďte podezřívaví vůči kódům a žádostem o QR kód

• Pokud vás webová stránka vyzve k naskenování QR kódu od WhatsAppu nebo k zadání párovacího kódu pro zobrazení obsahu, zastavte se.
• Propojení zařízení WhatsApp by mělo probíhat pouze tehdy, když vy úmyslně přidáváte své vlastní zařízení, nikoliv proto, že vás o to žádá náhodná stránka.

3. Nastavte si dvoufázové ověření

• Tím přidáte další vrstvu ochrany a pomůžete omezit jiné formy zneužití účtu.

4. Mluvte o tom

• Podvody jako tento fungují, protože o nich lidé neslyšeli. Sdílení rychlého varování s rodinou nebo ve skupinových chatech může zastavit jeho šíření.

Nejde jen o WhatsApp

Tento útok se nemusí týkat jen jedné aplikace. Mnoho služeb dnes spoléhá na QR kódy, výzvy ke schválení nebo ověřovací kódy pro rychlé propojení zařízení. Pokud jsou tyto kroky příliš snadné a málo transparentní, lze je jednoduše zneužít. Ghostpairing je připomínkou toho, že pohodlí se může stát zranitelností, pokud uživatelé jasně neví, co schvalují.

Zůstat v bezpečí nevyžaduje technické znalosti. Vyžaduje to jen vědět, na co si dát pozor.