Hack Alerta

GhostPairing: campanha usa pareamento do WhatsApp para tomar contas

Por Redação Hack Alerta Publicado em 16/12/2025 06:05 Riscos e Ameaças Tempo de leitura: 4 min

A campanha GhostPairing usa engenharia social e o fluxo legítimo de pareamento do WhatsApp para que vítimas aprovem, sem notar, navegadores controlados por atacantes. Identificada pela Gen Digital na República Tcheca, a técnica permite acesso persistente a mensagens e arquivos e é distribuída por kits reutilizáveis que facilitam escalabilidade.

GhostPairing: campanha usa pareamento do WhatsApp para tomar contas

Uma nova campanha de takeover apelidada de "GhostPairing" usa engenharia social para abusar do recurso legítimo de pareamento de dispositivos do WhatsApp e conceder aos atacantes acesso persistente às contas sem romper senhas ou explorar vulnerabilidades técnicas.

Descoberta e escopo / O que mudou agora

Pesquisadores da Gen Digital identificaram a campanha, que inicialmente emergiu na República Tcheca, mas foi observada em um kit reutilizável capaz de operar em múltiplos países e idiomas. Segundo o relatório, a técnica não depende de roubo de credenciais ou falhas no aplicativo: os operadores enganam usuários a aprovar um dispositivo não autorizado via o fluxo legítimo de pareamento do WhatsApp.

Vetor e exploração / Mitigações

O ataque começa com uma mensagem enviada a partir de um contato conhecido do alvo contendo um link que imita um visualizador de conteúdo do Facebook. Ao clicar, a vítima é direcionada a uma página falsa que solicita verificação antes de liberar o conteúdo — uma interface familiar que reduz suspeitas.

A página maliciosa pede o número de telefone; a infraestrutura do atacante então encaminha a solicitação ao endpoint legítimo de linkagem de dispositivos do WhatsApp, fazendo o serviço gerar o código numérico de pareamento. Em seguida, o site fraudulento exibe esse código à vítima e instruí-la a digitá‑lo no app WhatsApp do telefone. Ao fazê‑lo, o usuário inadvertidamente aprova o navegador do atacante como um dispositivo vinculado.

  • Como evitar: revisar periodicamente a lista de dispositivos vinculados em WhatsApp > Configurações > Dispositivos vinculados e remover sessões desconhecidas.
  • Prática recomendada: tratar solicitações externas para escanear QR codes ou inserir códigos de pareamento como suspeitas e não fornecê‑las sem confirmação direta da outra parte.
  • Reforço adicional: ativar a Verificação em Duas Etapas (Two‑Step Verification) no WhatsApp para reduzir o risco mesmo se um código de pareamento for processado.

Impacto e alcance / Setores afetados

Uma vez estabelecido o pareamento, o atacante obtém acesso persistente ao histórico de conversas, mensagens recebidas, fotos, vídeos e qualquer informação trocada pelo usuário — tudo sem alertar a vítima. Contas comprometidas podem ser usadas como vetores de propagação para enviar os mesmos conteúdos de isca a contatos da vítima, multiplicando o alcance da campanha.

O relatório descreve o uso de kits escaláveis, o que indica potencial de impacto amplo além de geografias iniciais. Embora a descoberta tenha sido vinculada à atividade observada na República Tcheca, os autores do estudo alertam que não há limitações técnicas que impeçam a campanha de operar globalmente.

Limites das informações / O que falta saber

As informações públicas divulgadas pela Gen Digital descrevem a mecânica do golpe e amostras da infraestrutura usada para enganar vítimas, mas não quantificam o número total de contas comprometidas nem identificam atores específicos responsáveis pela campanha. Também não há dados públicos que liguem a GhostPairing a grupos de ameaça conhecidos ou a campanhas anteriores com TTPs idênticos.

Sem métricas adicionais de detecção em escala ou divulgações de provedores de mensageria, o alcance real permanece indeterminado. Organizações que detectem sinais de comprometimento devem comunicar incidentes aos seus canais de resposta e, quando aplicável, às autoridades competentes.

Repercussão / Próximos passos

Do ponto de vista operacional, equipes de segurança e administradores de programas de conscientização devem atualizar playbooks de resposta para incluir este vetor: campanhas que exploram fluxos legítimos de verificação e pareamento. Comunicações internas devem orientar usuários a conferir dispositivos vinculados e reportar convites ou mensagens inesperadas, mesmo quando originadas de contatos conhecidos.

Para provedores de plataformas de mensageria, a GhostPairing ressalta o risco inerente aos mecanismos de linkagem de dispositivos que dependem de códigos exibidos ao usuário final. Medidas técnicas adicionais — como monitoramento de padrões de pareamento anômalos, limites por IP/país para tentativas de pareamento e notificações contextuais mais claras ao titular da conta — podem reduzir sucesso de golpes semelhantes, mas nenhuma mitigação técnica substitui a cautela do usuário.

Em resumo: a GhostPairing demonstra que atacantes podem obter controle persistente de contas apenas com engenharia social e uso autorizado de APIs. Revisar dispositivos vinculados, habilitar verificação em duas etapas e educar usuários continuam sendo as defesas imediatas mais eficazes.

Baseado em publicação original de Cyber Security News
Tags: #whatsapp #account-takeover #phishing #ghostpairing #social-engineering #gen-digital #two-step-verification #messaging #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar