Ghost Pairing su WhatsApp: come i truffatori rubano account senza conoscere password
Attenzione: se hai ricevuto un messaggio WhatsApp insolito che ti invita a votare per un concorso, aiutare un nipote o verificare la sicurezza del tuo account, non cliccare mai sul link e non inserire codici di verifica. Questa è la truffa chiamata Ghost Pairing, che permette ai criminali di rubare il tuo account WhatsApp senza dover conoscere la tua password. La soluzione immediata è controllare la sezione “Dispositivi collegati” nelle impostazioni di WhatsApp ed eliminare immediatamente qualsiasi dispositivo che non riconosci. Attiva inoltre la verifica in due passaggi per proteggere il tuo account da futuri tentativi di accesso.
Cos’è il Ghost Pairing e perché è così pericoloso
Il Ghost Pairing è una tecnica di ingegneria sociale che sfrutta una funzione legittima di WhatsApp: il collegamento dei dispositivi. A differenza degli attacchi tradizionali che richiedono il furto di password o l’uso di malware, questo metodo si basa sulla persuasione. I truffatori contattano gli utenti attraverso messaggi apparentemente innocui, spesso provenienti da contatti conosciuti o che sembrano affidabili, invitandoli a partecipare a concorsi, votare per un familiare o completare una verifica di sicurezza.
La truffa inizia con un messaggio che esordisce con frasi come “Ciao! Manca davvero poco…” o “Potresti esprimere il tuo voto per mio nipote?”. Questi messaggi sono ganci che i cybercriminali utilizzano per convincere la vittima a interagire con un codice QR o un link di collegamento. L’utente, convinto di completare un’azione utile o necessaria, inserisce un codice numerico o scansiona un QR code, pensando di verificare la sicurezza del proprio account. In realtà, sta autorizzando inconsapevolmente l’associazione di un nuovo dispositivo WhatsApp controllato dai criminali.
Una volta completato il collegamento, il dispositivo “fantasma” resta associato all’account della vittima. Questo dispositivo può sincronizzare tutti i messaggi, le conversazioni, le immagini e i contenuti condivisi, spesso senza che l’utente se ne accorga subito. Il pericolo è grave perché il collegamento permette all’attaccante di leggere le conversazioni in tempo reale, monitorare i contatti, impersonare l’ proprietario dell’account e inviare messaggi a nome della vittima. Questo crea un percorso familiare per la frode finanziaria e l’abuso di identità, specialmente quando i criminali sfruttano la fiducia associata a un account WhatsApp conosciuto.
Come funziona il meccanismo della truffa
Il Ghost Pairing non richiede exploit tecnici complessi. Si basa interamente sulla manipolazione psicologica dell’utente. I truffatori utilizzano diversi pretesti per ingannare la vittima: messaggi diretti, post sui social media, richieste di supporto falso o concorsi online apparentemente legittimi. L’obiettivo è guidare l’utente verso un codice QR o una richiesta di collegamento che appare innocua.
La procedura fraudolenta sfrutta la funzione ufficiale dei “Dispositivi collegati” di WhatsApp. Normalmente, questa funzione permette agli utenti di utilizzare WhatsApp su più dispositivi, come computer o tablet, mantenendo la stessa sessione di messaggi. I criminali trasformano questa funzione legittima in un punto di ingresso per il takeover dell’account. Quando la vittima inserisce il codice numerico o scansiona il QR code, sta effettivamente autorizzando l’associazione di un nuovo dispositivo WhatsApp tramite un codice che la vittima crede di usare per completare un controllo di sicurezza.
Una volta che il nuovo dispositivo è approvato, il criminale guadagna una finestra persistente nelle chat della vittima senza bisogno di conoscere la password dell’account. Questo rende il metodo particolarmente pericoloso perché le vittime potrebbero non notare immediatamente la compromissione. Gli attaccanti possono studiare silenziosamente le conversazioni prima di tentare frodi, raccogliere informazioni sensibili come password o coordinate bancarie, o utilizzare le conversazioni recuperate per rendere i messaggi successivi più credibili.
Conseguenze per utenti e organizzazioni
Le conseguenze del Ghost Pairing possono essere devastanti sia sul piano economico sia su quello della privacy. I criminali possono sottrarre dati sensibili e personali a scopo ricattatorio o per rivendere ad altri cybercriminali. Inoltre, trasformano il profilo compromesso in un nuovo veicolo per colpire altri contatti a cascata. Una volta che l’account è compromesso, il truffatore può impersonare la vittima, richiedere denaro a amici o colleghi, raccogliere dettagli sensibili dalle chat o utilizzare le conversazioni recuperate per rendere i messaggi successivi più credibili.
Per le organizzazioni, un account aziendale di un dipendente compromesso può supportare frodi relative a fatture, impersonazione di dirigenti e phishing mirato contro partner. I criminali possono inviare messaggi che sembrano provenire da un account familiare, chiedendo pagamenti urgenti o dati sensibili. La fiducia associata a un account WhatsApp conosciuto rende questi messaggi particolarmente efficaci.
I recenti casi di hijacking di sessioni WhatsApp Web mostrano come una sessione di messaggistica compromessa può essere utilizzata rapidamente per frodi focalizzate sul business. Gli analisti di GenDigital hanno identificato il Ghost Pairing come parte di un cambiamento più ampio in cui i criminali spostano la loro attività in spazi digitali affidabili, piuttosto che affidarsi solo a file maliziosi obvious o pagine di login false.
Come proteggersi e prevenire il Ghost Pairing
La protezione contro il Ghost Pairing richiede cautela e verifiche regolari. Gli utenti dovrebbero considerare codici QR insoliti, richieste di scansione di codici e istruzioni per “verificare” o “sicurare” un account come segnali di pericolo. WhatsApp non ha bisogno che gli utenti collegano dispositivi sconosciuti per mantenere un account attivo, e qualsiasi richiesta che crea urgenza dovrebbe essere verificata attraverso un canale separato e affidabile.
Il passo difensivo più importante è controllare periodicamente la sezione “Dispositivi collegati” nelle impostazioni di WhatsApp ed eliminare immediatamente qualsiasi sessione che non è riconosciuta. Gli utenti dovrebbero anche attivare la verifica in due passaggi, proteggere il telefono con un blocco schermo ed evitare di condividere codici di verifica o accesso allo schermo con chiunque che afferma di fornire supporto.
Le persone che sospettano un takeover dell’account dovrebbero disconnettere dispositivi sconosciuti, avvisare i contatti che messaggi sospetti potrebbero provenire dal loro account e segnalare l’incidente attraverso le opzioni di supporto ufficiali di WhatsApp. Le organizzazioni dovrebbero richiedere ai dipendenti di confermare richieste di pagamento o dati insolite tramite telefono o un altro metodo indipendente, piuttosto che fidarsi di un messaggio solo perché proviene da un account familiare.
WhatsApp sta introducendo nuovi strumenti di sicurezza anti-truffa che potrebbero aggiungere avvisi utili, ma la cautela dell’utente rimane la difesa più forte contro la manipolazione di tipo Ghost Pairing. La regola fondamentale è: WhatsApp o Facebook, se vogliono verificare, lo fanno all’interno della loro app, non tramite un link che ti mandano.
Technical Deep Dive
Meccanismo tecnico del Ghost Pairing
Il Ghost Pairing sfrutta l’architettura multidispositivo di WhatsApp, che permette il collegamento di fino a quattro dispositivi aggiuntivi a un account principale senza bisogno di maintenir la connessione del telefono principale. Questa funzione, introdotta per migliorare l’usabilità, utilizza un protocollo di pairing basato su QR code o codici numerici a 8 cifre.
Quando un utente scansiona un QR code o inserisce un codice numerico, WhatsApp genera un token di autorizzazione che associa il nuovo dispositivo all’account esistente. Il token viene criptato con la chiave pubblica del dispositivo e firmato con la chiave privata del server WhatsApp. Il dispositivo fantasma riceve questo token e può decrittare tutti i messaggi in arrivo utilizzando la chiave di sessione condivisa.
Architettura di sicurezza compromessa
Il sistema di sicurezza di WhatsApp è progettato per prevenire l’accesso non autorizzato tramite password brute-force o phishing tradizionali. Tuttavia, il Ghost Pairing bypassa queste protezioni perché l’autorizzazione viene concessa volontariamente dall’utente legittimo. Il protocollo di pairing non richiede la verifica dell’identità del dispositivo collegato oltre al codice fornito dall’utente, creando un punto di vulnerabilità sociale.
Una volta che il dispositivo è collegato, riceve una copia completa della chiave di sessione dell’account. Questo permette la decrittazione end-to-end dei messaggi sul dispositivo fantasma, esattamente come sul dispositivo principale. La sessione rimane attiva fino alla disconnessione manuale o alla scadenza del token di autorizzazione, che può durare settimane o mesi.
Indicatori di compromissione
Gli indicatori tecnici di un compromissione tramite Ghost Pairing includono:
- Sessioni di dispositivo non riconosciute nella sezione “Dispositivi collegati”
- Attività di lettura messaggi in tempo reale da dispositivi non autorizzati
- Messaggi inviati da dispositivi non identificati
- Sincronizzazione di contenuti multimediali su dispositivi sconosciuti
Best practice per la sicurezza tecnica
Per mitigare il rischio di Ghost Pairing, le organizzazioni dovrebbero implementare:
- Monitoraggio continuo della sezione “Dispositivi collegati” tramite API di gestione
- Alert automatizzati per nuove sessioni di dispositivo non autorizzate
- Politiche di sicurezza che richiedono la verifica telefonica per richieste di pagamento insolite
- Formazione specifica per gli dipendenti sui segnali di ingegneria sociale
- Implementazione di verifica in due passaggi con token hardware per accounts critici
Il Ghost Pairing rappresenta un esempio di come le funzionalità legittime delle piattaforme possano essere trasformate in strumenti di attacco quando combinati con tecniche di ingegneria sociale sofisticate. La protezione richiede una combinazione di cautela dell’utente, monitoraggio tecnico e politiche di sicurezza organizzative.
Fonte: https://cybersecuritynews.com/whatsapp-ghostpairing-hijack-accounts/





