相手が確認したくなるような画像を見つけたというメッセージを送り、リンク先に誘導する。

ここで、画像を確認するにはアカウント連携をして本人確認をする必要があるという表示。

電話番号を入力して受け取ったコードをWhatsappのスマホアプリで入力するように指示がある。

WhatsappのスマホアプリにSMSで受け取ったコードを入力してしまうと、攻撃者の環境が被害者のWhatsappと連携される。

Linked device

Whatsappでは通常使用するスマホアプリ以外にPCのアプリも利用できる。

その際にはスマホアプリを使用して、デバイスをリンクさせる必要がある。

デバイスのリンクは、「QRコードをスキャンする」と「SMSの認証コードを入力する」という2種類の方法がある。

QRコードをスキャンする

QRコードをスキャンする方法はLINEなどと同様に、リンクしたいデバイスに表示されたQRコードをスマホアプリで読み取ることでリンクされる。

これを使用して、QRコードを読み取ってアカウント連携という攻撃もあるようだが明らかに不自然。

そもそも、この手のフィッシングを行った際には被害者もスマホを使用しているハズなので、QRコードを読み取れない。

多くの人はQRコードが読み取れずに諦めるか、フィッシング攻撃や不自然なサービスだと疑いを持つハズ。

攻撃としてはあんまり現実的ではない。

SMSの認証コードを入力する方法は、その名の通り。電話番号を入力して、受け取ったコードをWhatsappのスマホアプリに入力する。

これは、一般的な2段階認証のような感じ。

例えば、facebookのような画面でwhatsappなどで本人確認が必要とされ、電話番号を要求される。SMSで送られてきたコードをWhatsappに入力するように促されたらどうだろうか。よくある2段階認証のような気分で入力してしまうのでは？

つまり、このようなことをさせるのが今回の「GhostPairing攻撃」

デバイスをリンクすれば、被害者のアカウントでログインできるようになる。

被害者のWhatsappのこれまでのやり取りが見れるし、メッセージも送信できる。

そうすると、攻撃者は次の新たな被害者を生み出すために同じような「GhostPairing攻撃」メッセージを送る。

こうして、被害者も加害者とされてしまう。

基本的に直ぐに何で送ってきたのか理由を対面で確認できないような場合には、送られてきたURLは常に用心すべき。

送られて来たURLの遷移先でログインなんてありえない。

また、「googleのアカウントでログイン」とか「microsoftのアカウントでログイン」とか「メールアドレスでログイン」とか色々あるが、そのログインの際に自分は何のために何をやらされているか常に考えた方が良いと思います。