Uma nova campanha criminosa, batizada de GhostPairing, está explorando o recurso de vinculação de dispositivos do WhatsApp Web para sequestrar contas de usuários sem exigir autenticação direta. O golpe foi identificado pela empresa de segurança Gen Digital, que alerta para o alto potencial de disseminação da técnica devido à sua simplicidade.
Segundo os pesquisadores, o ataque começa com uma mensagem enviada a partir de um contato conhecido da vítima, o que aumenta a taxa de sucesso. O texto costuma dizer algo como “Ei, acabei de encontrar uma foto sua!” e inclui um link que aparenta levar ao Facebook ou a uma página de fotos.
Ao clicar, a vítima é direcionada a um site falso, desenvolvido especificamente para coletar informações. Nessa página, o usuário é induzido a inserir seu número de telefone e, em seguida, recebe um código de verificação ou é convidado a fazer login por meio de um QR Code falso, simulando o processo legítimo do WhatsApp Web.
Como o golpe funciona na prática
As duas opções — código ou QR Code — permitem que os criminosos vinculem um novo dispositivo à conta da vítima, obtendo acesso ao WhatsApp Web. Com isso, eles passam a acompanhar conversas, visualizar fotos, acessar contatos e monitorar toda a atividade da conta.
Como o aplicativo principal da vítima continua funcionando normalmente no celular, o golpe pode passar despercebido por bastante tempo. Nesse intervalo, os criminosos utilizam a conta comprometida para coletar dados e espalhar o ataque para novos contatos.
Durante a investigação, foram identificados diversos domínios usados na campanha, todos com temas relacionados a fotos, como:
- photobox[.]life
- postsphoto[.]life
- yourphoto[.]life
- photopost[.]live
- yourphoto[.]world
- top-foto[.]life
- fotoface[.]top
Esses endereços são frequentemente substituídos quando bloqueados, o que dificulta a contenção do golpe.
Campanha GhostPairing é simples e escalável
A análise da Gen Digital aponta que o golpe não depende de malware sofisticado. Toda a fraude é baseada em funcionalidades legítimas do próprio WhatsApp, utilizando um kit reutilizável de páginas falsas com modelos praticamente idênticos.
Esse formato facilita a replicação do ataque em larga escala, permitindo que até criminosos com pouco conhecimento técnico consigam executar a campanha de forma eficiente.
Como saber se sua conta foi comprometida
Para verificar se há acesso indevido ao WhatsApp Web, o usuário deve:
- Abrir o WhatsApp no celular;
- Acessar Configurações;
- Entrar em Dispositivos Vinculados;
- Conferir se existe algum dispositivo conectado que não reconheça.
Caso identifique algo suspeito, é possível desconectar todos os dispositivos imediatamente.
Como se proteger do golpe do WhatsApp Web
Para reduzir os riscos, a Gen Digital recomenda as seguintes boas práticas de segurança:
- Bloquear e denunciar mensagens suspeitas;
- Ativar a verificação em duas etapas no WhatsApp;
- Analisar cuidadosamente links antes de clicar;
- Confirmar, por outro meio, se o contato é realmente quem diz ser;
- Prestar atenção às etapas de verificação de identidade solicitadas pelo aplicativo.