Güvenlik araştırmacılarına göre bu yöntem, WhatsApp’ın cihaz bağlama (linked devices) özelliğini istismar ederek hesapların fark edilmeden ele geçirilmesine imkan tanıyor.
GhostPairing’i tehlikeli kılan en önemli unsur ise, hesap sahibinin WhatsApp’tan çıkarılmaması. Dolandırıcılar klasik yöntemlerde olduğu gibi şifreyi kırmıyor ya da hesabı tamamen devralmıyor. Bunun yerine, kendi tarayıcılarını ya da cihazlarını kurbanın WhatsApp hesabına bağlı ek bir cihaz gibi tanımlıyor.
Mesajlar Okunuyor, Kimlik Taklidi Yapılıyor
Bu bağlantı sağlandıktan sonra saldırganlar, mağdurun tüm mesajlarını okuyabiliyor, sohbetlere kullanıcıymış gibi katılabiliyor, fotoğraf ve videoları indirip paylaşabiliyor. Daha da tehlikelisi, rehbere erişerek yeni dolandırıcılık girişimlerini mağdurun hesabı üzerinden yayabiliyorlar.
Tüm bu işlemler sürerken, kullanıcının telefonunda WhatsApp normal şekilde çalışmaya devam ediyor. Herhangi bir oturum kapatma, uyarı ya da olağan dışı belirti görülmüyor. Bu durum, saldırının uzun süre fark edilmeden devam etmesine yol açıyor.
Dolandırıcılık Nasıl Başlıyor?
GhostPairing saldırısı genellikle tanıdık bir kişiden gelmiş izlenimi veren kısa bir mesajla başlıyor. Mesajda yer alan bağlantı, çoğu zaman Facebook içeriği, video veya fotoğraf gibi sunuluyor.
Bağlantıya tıklayan kullanıcı, sahte bir Facebook giriş sayfasına yönlendiriliyor ve burada telefon numarasını girmesi isteniyor. Ardından ekranda beliren bir kodun WhatsApp’a girilmesi talep ediliyor.
Kullanıcı, bu süreci rutin bir doğrulama adımı zannederek kodu girdiğinde, aslında saldırganın tarayıcısı WhatsApp hesabına bağlı bir cihaz olarak eklenmiş oluyor.
Siber güvenlik uzmanları, WhatsApp’ta cihaz bağlama taleplerinin ve doğrulama kodlarının asla üçüncü kişilerle paylaşılmaması gerektiğini vurguluyor. Ayrıca kullanıcıların, WhatsApp ayarlarından “Bağlı Cihazlar” bölümünü düzenli olarak kontrol etmesi ve şüpheli oturumları derhal kaldırması öneriliyor.