Aplikácia WhatsApp patrí medzi najpoužívanejšie komunikačné nástroje na svete a dlhodobo sa opiera o end-to-end šifrovanie, ktoré chráni obsah správ pred cudzími osobami. V posledných mesiacoch sa však objavuje nový typ podvodu, ktorý neútočí na technické zabezpečenie aplikácie, ale na samotných používateľov.
Ide o formu sociálneho inžinierstva, ktorú bezpečnostní experti označujú ako GhostPairing. Útočníci v tomto prípade neprelamujú šifrovanie, nekradnú heslá ani nezachytávajú SMS kódy. Namiesto toho zneužívajú oficiálnu funkciu WhatsAppu – možnosť pripojiť k jednému účtu viac zariadení.
Čo GhostPairing v skutočnosti je – a čo nie
Je dôležité uviesť veci na pravú mieru. GhostPairing nie je bezpečnostná chyba WhatsAppu a neznamená, že by aplikácia prestala byť šifrovaná. Ide o podvod, pri ktorom je používateľ oklamaný, aby sám schválil pripojenie cudzieho zariadenia k svojmu účtu.
WhatsApp umožňuje používať jeden účet na viacerých zariadeniach (napríklad mobil a počítač). Útočník sa snaží presvedčiť obeť, aby tento proces spustila a potvrdila – netušiac, že nepripája vlastné zariadenie, ale zariadenie podvodníka.
Ako prebieha útok v praxi
Podvod sa zvyčajne začína správou, ktorá pôsobí dôveryhodne a nenápadne. Často prichádza od známeho kontaktu, ktorého účet už mohol byť kompromitovaný. Text správy býva krátky a vyvoláva zvedavosť alebo mierny tlak, napríklad upozornenie na fotografiu, video či označenie na sociálnej sieti.
Po kliknutí na odkaz sa používateľ dostane na falošnú webovú stránku, ktorá napodobňuje vzhľad známych služieb. Stránka tvrdí, že pred zobrazením obsahu je potrebné overiť identitu alebo potvrdiť prihlásenie.
V tomto momente môže byť používateľ vyzvaný, aby:
- zadal párovací kód
- schválil pripojenie zariadenia
- alebo naskenoval QR kód mimo oficiálnej aplikácie WhatsApp
Tieto kroky sú samy o sebe legitímne iba vtedy, ak ich iniciuje používateľ priamo v aplikácii WhatsApp. Ak sú však vyvolané cez externú stránku, ide o podvod.
Čo útočník skutočne získa
Ak používateľ potvrdí pripojenie cudzieho zariadenia, útočník získa prístup k účtu podobne, ako keby si ho obeť sama otvorila na počítači. To znamená:
- môže čítať nové správy, ktoré prichádzajú po spárovaní
- vidí fotografie, hlasové správy a texty
- má prístup ku kontaktom a skupinám
Neplatí však, že by automaticky získal celú históriu správ dozadu – rozsah prístupu závisí od konkrétnych nastavení a synchronizácie.
Zároveň je pravda, že pôvodný telefón zostáva plne funkčný a používateľ si často nevšimne žiadnu zmenu. Práve to robí tento typ útoku nebezpečným.
Prečo sa podvod šíri tak úspešne
GhostPairing je príkladom moderného trendu v kyberkriminalite. Útočníci sa čoraz menej snažia prelamovať technické bariéry a viac sa spoliehajú na psychológiu a rutinu používateľov. Ľudia sú zvyknutí rýchlo reagovať na správy, najmä ak prichádzajú od známych osôb a pôsobia naliehavo.
Získaný účet je navyše často využívaný na ďalšie šírenie podvodu. Správy od známeho kontaktu majú vyššiu dôveryhodnosť, a preto sa útok môže šíriť veľmi rýchlo.
Ako sa účinne chrániť
Najlepšou obranou je kombinácia technickej kontroly a zdravej opatrnosti:
- Pravidelne kontrolujte sekciu „Prepojené zariadenia“ v nastaveniach WhatsAppu.
- Odstráňte každé zariadenie, ktoré nespoznávate alebo nepoužívate.
- Nikdy nezadávajte párovacie kódy ani neschvaľujte pripojenie zariadenia cez odkazy v správach.
- QR kódy na pripojenie zariadení skenujte výhradne priamo v aplikácii WhatsApp.
- Buďte obozretní aj pri správach od známych – ich účet môže byť zneužitý.
WhatsApp ako aplikácia zostáva z technického hľadiska bezpečný. GhostPairing však ukazuje, že najslabším článkom bezpečnosti býva človek, nie technológia. Stačí jeden neuvážený klik a používateľ môže nevedomky otvoriť dvere k svojmu súkromiu. Opatrnosť, kontrola nastavení a zdravý skepticizmus sú dnes rovnako dôležité ako samotné šifrovanie.
