Negli ultimi mesi la comunità della sicurezza digitale ha segnalato una nuova forma di attacco mirata agli utenti di WhatsApp chiamata GhostPairing. A differenza dei tradizionali tentativi di furto d’account basati su password rubate o sim swap, questa tecnica sfrutta una combinazione di ingegneria sociale e funzioni legittime dell’app per ottenere accesso al profilo di una vittima senza che questa si accorga di nulla. Ma vediamo insieme di cosa si tratta.
Che cos’è GhostPairing?
GhostPairing non è un bug o una falla nei sistemi di sicurezza di WhatsApp, piuttosto si tratta di una forma di abuso delle funzioni ufficiali di collegamento dispositivi offerte già dall’applicazione. WhatsApp permette infatti di collegare lo stesso account a più device, per esempio per usare WhatsApp Web o l’app desktop, tramite un codice di associazione generato dall’applicazione stessa.
I criminali informatici dietro GhostPairing inducono la vittima a approvare l’aggiunta di un dispositivo “fantasma” (ghost device) al proprio account. Questo viene fatto tramite messaggi ingannevoli contenenti link che sembrano innocui ma che, una volta cliccati, portano a pagine contraffatte. Spesso queste pagine imitano l’interfaccia di servizi conosciuti (come un visualizzatore di foto collegato a un social network) per dare credibilità alla richiesta. A questo punto l’attacco viene innescato.
Come funziona l’attacco?
Il processo inizia di solito con un messaggio che arriva da un contatto della vittima, non necessariamente un numero sconosciuto, anzi, spesso è un account già compromesso, con un testo che stuzzica la curiosità, ad esempio: “Guarda questa foto che ho trovato di te!”. Il link incluso apre una pagina web falsa che chiede alla vittima di inserire il proprio numero di telefono e il codice di associazione generato da WhatsApp.
Una volta inserito il codice, il dispositivo malevolo viene collegato all’account della vittima nello stesso modo in cui si farebbe per collegare WhatsApp Web o l’app desktop. Da quel momento in poi, l’aggressore ha pieno accesso alle conversazioni, può leggere i messaggi in arrivo e quelli passati, scaricare media e persino inviare messaggi impersonando la vittima stessa.
Perché GhostPairing è pericoloso?
La particolarità del GhostPairing risiede nel fatto che non richiede hacking diretto della piattaforma né violazione della crittografia end-to-end di WhatsApp. Al contrario, come abbiamo visto, sfrutta funzionalità esistenti e la fiducia dell’utente ed è proprio questo metodo che lo rende più difficile da individuare e può permettere al violatore di restare “invisibile” per lungo tempo.
Inoltre, una volta che l’aggressore ha accesso all’account, può propagare lo stesso attacco ai contatti della vittima, sfruttando la fiducia tra utenti noti per diffondere ulteriori messaggi malevoli.
Come riconoscere i segnali di un possibile compromesso e come proteggersi?
I segnali di un account compromesso tramite GhostPairing non sempre sono immediatamente evidenti, poiché l’uso dell’app continua normalmente e la vittima potrebbe non accorgersi di nulla. Tuttavia, controllando periodicamente le sessioni attive è possibile individuare collegamenti sospetti.
Per ridurre il rischio di cadere vittima di GhostPairing è importante adottare alcune buone pratiche:
• Non cliccare link sospetti, anche se sembrano provenire da contatti noti. I criminali spesso utilizzano messaggi convincenti per abbassare la guardia dell’utente.
• Non inserire codici di pairing o numeri di telefono su pagine web esterne a WhatsApp. L’associazione di un nuovo dispositivo dovrebbe sempre essere avviata dall’interno dell’app e non tramite un sito esterno.
• Verificare regolarmente i dispositivi collegati andando in WhatsApp su Impostazioni > Dispositivi collegati e rimuovendo sessioni che non riconosci.
• Abilitare la verifica in due passaggi (two-step verification) nelle impostazioni di WhatsApp. Questo aggiunge un ulteriore livello di protezione che rende più difficile per gli attaccanti completare alcune operazioni sul tuo account.
Il GhostPairing dimostra quanto siano importanti la consapevolezza e la prudenza degli utenti nella difesa dei propri dati digitali. A differenza di attacchi tecnici sofisticati, questa minaccia si basa principalmente su tecniche di ingegneria sociale e sull’uso improprio di funzioni legittime, essere informati sui rischi e adottare misure di sicurezza proattive può fare la differenza nel proteggere la privacy e l’integrità del proprio account WhatsApp.