無聲入侵|WhatsApp連結裝置功能成危險位 定期做一件事防黑客
即時通訊軟件 WhatsApp 是港人生活不可或缺的一部分,不時都會出現 WhatsApp 騙案。不過,網絡安全專家近期發現一種新型攻擊手法,黑客利用 WhatsApp 原本為了方便用家而設的「連結裝置(Linked Devices)」功能,透過誘騙對方交出「配對代碼(Pairing Code)」,在受害人毫不知情的情況下登入帳戶,進行無聲的全面監控。
過往最常見的詐騙手法,是騙徒假冒「WhatsApp 安全中心」或客服人員,聲稱用家的帳戶出現異常或需要進行「安全認證」,誘騙受害人交出手機收到的 6 位數字 SMS 一次性驗證碼。一旦騙徒得手,便會立即在另一部裝置登入,導致受害人的帳戶被強制登出並被盜用。
偽裝成合法的登入頁面
這種新型騙局與以往直接奪取帳戶控制權的手法不同,它利用了 WhatsApp Web 的連接機制。在正常情況下,用家若要在電腦或瀏覽器上使用 WhatsApp,通常會掃描 QR Code,但系統亦提供「使用手機號碼連結」的選項。攻擊者會首先設立一個精心設計的釣魚網站,介面可能偽裝成合法的登入頁面或安全驗證頁面,當受害人輸入手機號碼後,黑客便在後台觸發 WhatsApp 的配對流程,生成一組真正的配對代碼,並顯示在釣魚網站上,誘使受害人將這組代碼輸入到自己手機的 WhatsApp 中。
雖然 WhatsApp 在顯示通知時會明確指出這是「嘗試連結新裝置」的請求,但部分人可能會忽略了這訊息,誤以為只是解鎖或驗證身份的步驟。一旦受害人輸入代碼,黑客的裝置便會成功與受害人的帳戶連結,獲得完全的存取權限,意味黑客無須破解任何密碼或繞過其他防禦機制,就能透過 WhatsApp Web 實時讀取所有新舊訊息、查看及下載圖片影片,甚至能夠以受害人的名義發送訊息,向其通訊錄中的親友或群組發送更多詐騙誘餌,造成連鎖式的損害。
類似漏洞曾應用於 Signal
這種利用合法功能進行非法入侵的手法並非 WhatsApp 獨有,類似的漏洞過去亦曾被俄羅斯黑客組織應用於加密通訊軟件 Signal 之上。當時黑客製作惡意的 QR Code,並將其嵌入到針對特定目標(如關注特定議題的群組)的釣魚網頁中,誘騙受害人掃描,從而將 Signal 訊息同步至攻擊者的裝置。
面對這種防不勝防的「無聲入侵」,專家指出唯一能主動揭發的方法,是養成定期檢查帳戶狀態的習慣。用家應前往 WhatsApp 設定中的「連結裝置」頁面,檢視是否有不明的裝置正在連接,一旦發現可疑活動,應立即手動登出該裝置。最重要是對任何要求輸入代碼或掃描 QR Code 的訊息保持高度警惕,以免跌入黑客精心佈下的監控陷阱。
