關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 資訊安全
顯示分類
2025.12.18
事件與威脅/資訊安全
WhatsApp 裝置關聯功能被濫用於帳號劫持攻擊
威脅情勢與 GhostPairing 攻擊定義

在即時通訊軟體成為商業與個人溝通核心的時代,其便利的跨裝置同步功能正被駭客鎖定為攻擊入口。威脅行為者正在濫用合法的裝置關聯功能,透過配對碼劫持 WhatsApp 帳戶,這項活動被稱為 GhostPairing。這種類型的攻擊不需要任何身份驗證,因為受害者會被誘騙將攻擊者的瀏覽器連接到 WhatsApp 裝置。透過這種方式,威脅行為者可以存取完整的對話歷史記錄和共享媒體,並可能利用這些資訊冒充使用者或實施詐欺。

與傳統的木馬程式或漏洞利用不同,GhostPairing 完全依賴於「功能濫用(Feature Abuse)」與精密的社交工程陷阱。攻擊者不需要繞過端對端加密,因為他們是透過「合法」的關聯途徑直接成為帳戶的授權持有者。

GhostPairing 的運作方式與心理陷阱

GhostPairing 的成功關鍵在於利用了使用者對社交平台信任感以及對技術細節的忽視。攻擊始於一條來自熟人的短信,短信中分享了一個鏈接,據稱指向受害者的一張在線照片。為了博取信任,該連結顯示為 Facebook 的內容預覽。此外,該連結會將受害者帶到一個託管在網域搶注或類似網域上的虛假 Facebook 頁面,該頁面會告知用戶需要登入驗證才能存取內容

這種心理誘導將受害者的注意力從「安全警覺」導向「獲取資訊的急迫感」。此驗證頁面具有欺騙性,實際上會觸發 WhatsApp的裝置配對流程。受害者會被要求提供手機號碼,攻擊者會利用該號碼發動合法的裝置關聯或登入流程。

 

配對碼技術流程與驗證機制之崩潰

當受害者在虛假頁面輸入手機號碼後,攻擊者的後端系統會即時向 WhatsApp 官方伺服器請求建立新裝置連結。WhatsApp會產生一個配對碼,攻擊者會將該配對碼顯示在虛假頁面上。 WhatsApp 也會提示受害者輸入該配對碼,以便將新裝置與其帳號關聯。

雖然 WhatsApp 的訊息很明確地表明該通知是為了嘗試將新裝置與帳戶關聯,但用戶很可能會錯過它。一旦受害者輸入配對碼,攻擊者即可完全存取該帳戶,而無需繞過任何保護措施。這種「合法授權」的特性使得防毒軟體無法察覺異常,因為所有的連線流量在系統看來都是正常的帳戶同步行為。

 

隱蔽性監視與長期潛伏風險

GhostPairing 最令人恐懼的特點在於其「隱身性」。WhatsApp網頁版提供即時存取新訊息的功能,並允許用戶查看或下載共享媒體檔案。它可用於發送訊息,並將訊息轉發給聯絡人和群組。Gen Digital 警告說:「許多受害者沒有意識到後台已經添加了第二個設備,這使得詐騙更加危險——犯罪分子藏在你的帳戶中,在你毫不知情的情況下監視你的每一次對話。」

這種潛伏式監聽為攻擊者提供了極大的操作空間,包括:

  • 精準冒充:觀察使用者的語氣與常用語,針對其聯絡人進行詐騙。

  • 機密竊取:過濾對話中的敏感商務文件、合約或個人隱私。

  • 持續訪問:即使使用者更改密碼,除非手動移除關聯裝置,否則攻擊者將持續保有權限。

 

數位足跡檢測與自救指南

由於攻擊發生在合法的架構內,用戶無法依賴系統警報自動排查。發現帳戶被盜用的唯一方法是進入「設定」→「已關聯的設備」,檢查是否有未經授權的設備關聯到該帳戶。如果發現任何不明的登入位置或裝置類型(如不明的瀏覽器),應立即點擊該裝置並選擇「登出」。

此外,即便刪除了關聯裝置,受害者仍應清查對話紀錄中是否有被轉發或刪除的訊息,並通知重要的聯絡人其帳戶曾遭短期劫持,以阻斷後續的二度詐騙鏈。

 

企業防護建議與通訊安全策略

對於企業而言,員工的 WhatsApp 帳戶若涉及業務往來,GhostPairing 將成為重大的資安缺口。台灣應用軟件建議採取以下策略強化防禦:

  • 推動多因素驗證 (MFA):雖然 GhostPairing 濫用了配對碼,但啟用 WhatsApp 的「兩步驗證」PIN 碼仍能增加攻擊者的技術門檻。

  • 內部宣導社交工程案例:特別強調「不要在非官方 App 的網頁中輸入 WhatsApp 產生的配對碼」。

  • 定期裝置審計政策:要求接觸敏感資訊的員工定期截圖或檢查其「已關聯裝置」清單。

  • 分層通訊原則:極度敏感的資訊與文件應避免透過即時通訊軟體傳輸,或至少使用具备更強企業控管能力的通訊工具。

 

便利性與安全性的永恆博弈

GhostPairing 的興起標誌著攻擊者正將焦點從「攻擊系統」轉向「攻擊人類」。透過精巧的界面偽裝與行為引導,他們成功將 WhatsApp 旨在提升體驗的配對功能轉化為劫持工具。唯有建立「零信任」的通訊習慣,才能在數位時代確保個人隱私與企業機密的絕對安全。


資料來源:https://www.bleepingcomputer.com/news/security/whatsapp-device-linking-abused-in-account-hijacking-attacks/
 
深入分析新型 GhostPairing 攻擊,探討威脅行為者如何濫用 WhatsApp 配對碼功能,透過虛假 Facebook 登入頁面誘騙使用者關聯惡意裝置,進而達成全面帳戶劫持。