八年来,几乎所有账号安全课都在教你设复杂密码、开双重验证。可最新冒头的WhatsApp GhostPairing骗局偏不碰这两样。它动的是设备关联这个每家即时通讯软件都有的标准模块,让受害者亲手把骗子“请”进了自己的账号。
数字安全公司GenDigital在发给Cyber Security News的报告中,把GhostPairing定性为账号接管的新入口。报告的核心发现很粗暴:犯罪分子正从明显的恶意文件、伪造登录页,转向利用产品本身的设计把攻击行为藏在可信环境里。这个判断如果成立,意味着我们过去那套“防病毒+认网址”的防御逻辑,在面对这类攻击时基本失灵。
![]()
GhostPairing到底怎么运作?先看攻击链条。骗子会通过消息、社群帖子、假冒客服请求或别的可信借口接触目标,一路引导到一张看似无害的二维码或设备关联请求面前。这张码不是钓鱼网站,也不是木马下载链接,它就是WhatsApp“关联设备”功能正常生成的东西。攻击全程不涉及窃取密码,也不需要骗取一次性验证码。
受害者觉得自己在帮客服做个验证、扫了个官方码,实际上是在WhatsApp的“配套设备”流程里,给骗子手里的设备开了绿灯。设备一关联成功,对方就获得了一个持久通道,可以阅读消息、监视对话、冒充账号主人,还可以直接找联系人开口。这个过程受害者短期内根本察觉不到异样,攻击者却有充足时间安静翻阅对话记录,等到时机成熟再下手。
密码没丢,账号怎么就没了?这恰恰是GhostPairing难防的地方。一个人把密码保护得再好,只要被话术操纵、去关联一台由攻击者控制的设备,控制权照样拱手让人。近期WhatsApp网页会话劫持的案例也佐证了这一点——一次消息会话的沦陷,能迅速被包装成针对业务往来的定向诈骗。
账号到手之后,可做的文章远比想象中大。骗子能冒充受害者向朋友同事要钱、从聊天记录里搜集敏感细节、再利用捞到的真实对话让后续假消息看起来更可信。落到企业场景更麻烦:一个被劫持的员工账号可能支撑发票诈骗、高管身份冒充,以及针对合作伙伴的精准钓鱼。社交工程搭上真实账号的信誉背书,杀伤力直接翻倍。
防这类攻击,单靠密码已不够,关键动作是定期检查已关联设备列表。任何来路不明的二维码、叫你扫码“验证”“保护”账号的指令,都该当作危险信号。WhatsApp不需要用户关联陌生设备来维持账号活跃,任何这类请求本质上都是在为他人开门。保持对关联入口的审慎核查,可能是当下普通用户面对GhostPairing最实际的防御措施。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.