Nový podvod na WhatsAppu: Pomocí ghost pairing vám podvodníci ukradnou účet raz dva

Používáte aplikaci WhatsApp? Nově se na ní rozšířil podvod, díky kterému se vám podvodníci dostanou do vašeho účtu, a to i bez vašeho vědomí.

Zdroj fotografie: microsiervos/ Creative Commons / CC-BY-SA

Komunikace přes mobilní aplikace se stala samozřejmou součástí každodenního života a právě na této samozřejmosti dnes staví i stále sofistikovanější podvody. Nejnovější z nich, označovaný jako GhostPairing, míří na uživatele aplikace WhatsApp a zneužívá jednu z jejích běžných funkcí. Nejde přitom o prolomení zabezpečení nebo technický útok v pravém slova smyslu. Útočníci spoléhají na lidskou nepozornost a důvěru, díky nimž si oběť otevře dveře ke svému soukromí sama.

Nový podvod s názvem GhostPairing

Redakce Událostí247 vás pravidelně informuje o nejrůznějších podvodech a jen za poslední rok jsme psali o desítkách z nich. Každopádně podvod s názvem GhostPairing je úplnou novinkou a právě o to více ho podvodníci používají. Sázejí totiž na nevědomost a neznalost uživatelů. Princip GhostPairingu je přitom naprosto jednoduchý, a o to je právě nebezpečnější. WhatsApp umožňuje propojit jeden účet s více zařízeními, například s počítačem nebo tabletem. Funkce je běžná, oficiální a bezpečná, pokud ji používá sám majitel účtu. Podvodníci ale dokážou uživatele přimět, aby tuto možnost využil ve prospěch cizí osoby. Stačí jediné kliknutí na podvodný odkaz a následné potvrzení zdánlivě rutinního kroku.

Zdroj fotografie: Depositphotos

Celý scénář začíná zprávou, která působí nevinně. Často přijde od známého kontaktu a obsahuje krátký text, jenž vzbuzuje zvědavost nebo obavy. Může jít o informaci o údajné ztracené fotografii, označení na sociální síti nebo výzvu k ověření účtu. Právě fakt, že zpráva dorazí od někoho, koho oběť zná, výrazně snižuje ostražitost.

Po otevření odkazu se uživatel dostane na falešnou stránku, která velmi věrně napodobuje prostředí známých služeb. Design i formulace textů působí důvěryhodně a vytvářejí dojem, že jde o standardní bezpečnostní proces. Stránka obvykle vyzývá k potvrzení identity nebo ke spárování zařízení. V tu chvíli dochází k zásadnímu zlomu. Uživatel má pocit, že potvrzuje běžnou akci, ve skutečnosti ale přidává zařízení útočníka ke svému účtu.

Co se děje poté

Jakmile je párování dokončeno, má podvodník přístup k vašemu účtu – ten se totiž spároval se zařízením podvodníka. Ten pak vidí zprávy v reálném čase, fotografie, hlasové nahrávky i seznam kontaktů. Zásadní je, že oběť přitom o ničem neví. Aplikace funguje dál bez omezení, neobjeví se žádné varování a uživatel není odhlášen. Právě tato nenápadnost dělá z GhostPairingu mimořádně účinný nástroj. Jakmile si totiž podvodník prohlédne vaše zprávy, snadno z nich může získat informace, které mu otevřou dveře k vykradení i vašeho bankovního účtu.

Zdroj fotografie: Helar Lukats/ Creative Commons / CC-BY-SA

Někteří lidé mají například špatnou paměť na hesla – zvlášť pokud si ke každému účtu volí heslo odlišné. Častokrát si tak své údaje posílají například do vlastního chatu. Pokud si podvodník tyto zprávy přečte, snadno zjistí, jaké máte údaje například k Facebooku, Netflixu nebo i právě bankovnímu účtu. To ale není všechno. Jakmile má podvodník kontrolu nad vaším účtem, může zprávu, kterou předtím odeslal vám, rozesílat vesele dál z vašeho účtu vašim kontaktům. No a jak se bránit?

Obrana proti GhostPairingu není složitá, vyžaduje ale důslednost. Základem je obezřetnost při práci s odkazy a výzvami k ověření účtu. Jakákoli stránka, která mimo oficiální aplikaci žádá zadání párovacího kódu nebo potvrzení připojení zařízení, by měla vzbudit podezření. Platí to i tehdy, pokud odkaz přijde od známého kontaktu, jeho účet totiž může být již kompromitovaný.