网络安全领域常有“套路不变,花样翻新”的说法。攻击手段会变化,但很少会变得面目全非,其核心手法往往有迹可循。最新的例证是:不法分子正利用WhatsApp的设备关联流程,侵入毫无戒备的用户的账户。
根据安全软件制造商Gen Digital(旗下拥有诺顿(Norton)、Avast和AVG)的详细说明,这场名为“幽灵配对(GhostPairing)”的攻击活动,其核心是诱骗毫无戒备的用户帮助黑客登录其WhatsApp账户。这是一种网络钓鱼攻击的变体,其运作流程如下:
你收到一条来自已知联系人的WhatsApp消息。
对方声称在网上发现了你的照片,并附上了一个链接。
链接预览图看起来是一个Facebook页面,但实际上是一个伪造的网站。
点击链接后,系统会要求你验证账户才能查看照片。
接着,这个虚假网站会索要你的手机号码。
一旦获取号码,攻击者便会从他们那一端启动登录流程。此时,一条真实的验证码会发送到你的手机上。
随后,虚假网站会要求你输入这个登录验证码。
如果你输入了验证码,该信息就会被截获,并被用来完成设备关联流程。
落入此圈套的受害者会以为这是Meta公司要求的账户验证,但实际上,他们经历的是一个真实的登录流程。一旦黑客获得你账户的访问权限,他们就能查看你所有的现有消息以及任何新接收的消息。他们还可以冒用你的身份向联系人发送消息,从而进一步扩大窥探他人敏感数据的循环。
幸运的是,这类攻击并非新事物,这意味着你可以更容易地识别它。首先,它依赖于你对联系人的无条件信任——即你相信他们只会发送无害的链接给你。
其次,它遵循了与更典型的网络钓鱼尝试类似的模式。你点击一个欺诈链接,然后在一个虚假(但伪装得极其逼真)的网站上输入必要的登录信息。这些凭证会被攻击者截获并利用。这里的主要区别在于,这种恶意活动并非记录你的密码(用于后续的凭证填充攻击)并窃取双重验证码,而是针对WhatsApp的登录方式进行了适配。
第三,它会通过异常行为暴露自己。在正常情况下,你不会使用WhatsApp的登录信息来验证你对Facebook内容的访问权限。攻击者赌的就是你不会对正在发生的事情给予足够密切的关注。
为了避免被这种肮脏伎俩所害,请保持警惕。不要与可疑链接进行交互。相反,如果发件人是你认识的人,请通过其他方式(如电话或不同的通讯应用)联系对方,询问具体情况。如果对方你不熟悉,直接忽略该消息即可。总的来说,在确认网站确实是官方之前,不要向任何网站分享登录验证码。
如果你担心有人可能已访问你的WhatsApp账户,可以前往“设置”>“已关联设备”来查看有哪些手机、平板电脑和/或电脑已连接。你还可以对许多主流服务(如谷歌(Google)、苹果(Apple)、微软(Microsoft)、Facebook等)进行类似的检查。我始终建议不时查看一下,以确保你的账户安全无虞。
