आखरी अपडेट:
यह शोषण दुर्भावनापूर्ण अभिनेताओं को पासवर्ड, ओटीपी या भौतिक सिम स्वैप की आवश्यकता के बिना उपयोगकर्ता के व्हाट्सएप खाते पर ‘पूर्ण’ नियंत्रण लेने की अनुमति देता है।
CERT-In ने सभी भारतीय ‘डिजिटल नागरिकों’ से आग्रह किया है कि वे ज्ञात संपर्कों से भी अवांछित लिंक प्राप्त करते समय अत्यधिक सावधानी बरतें। प्रतीकात्मक छवि
भारत की प्रमुख साइबर सुरक्षा एजेंसी, CERT-In (इंडियन कंप्यूटर इमरजेंसी रिस्पांस टीम) ने व्हाट्सएप के डिवाइस-लिंकिंग फीचर में एक गंभीर भेद्यता के संबंध में एक उच्च-गंभीरता वाली सलाह जारी की है। “घोस्टपेयरिंग” नामक यह शोषण दुर्भावनापूर्ण अभिनेताओं को पासवर्ड, ओटीपी या भौतिक सिम स्वैप की आवश्यकता के बिना उपयोगकर्ता के व्हाट्सएप खाते पर “पूर्ण” नियंत्रण लेने की अनुमति देता है।
इस दोष का लाभ उठाकर, हमलावर पीड़ित के संपूर्ण चैट इतिहास तक वास्तविक समय में पहुंच प्राप्त कर सकते हैं, जिसमें संवेदनशील फ़ोटो, वीडियो, वॉयस नोट्स और प्लेटफ़ॉर्म के वेब संस्करण पर लाइव संदेश शामिल हैं।
‘घोस्टपेयरिंग’ हमले की शारीरिक रचना
19 दिसंबर को जारी सीईआरटी-इन एडवाइजरी के अनुसार, हमला मुख्य रूप से एक सोशल इंजीनियरिंग अभियान है जो वैध व्हाट्सएप सुविधाओं का दुरुपयोग करता है। अनुक्रम आम तौर पर एक “विश्वसनीय” संपर्क से भेजे गए भ्रामक संदेश से शुरू होता है – जिसके खाते से पहले ही समझौता हो चुका है। संदेश अक्सर एक आकर्षक हुक का उपयोग करता है, जैसे “हाय, अपनी यह तस्वीर जांचें”, एक लिंक के साथ जो तत्काल विश्वास बनाने के लिए फेसबुक-शैली पूर्वावलोकन प्रदर्शित करता है।
जब कोई उपयोगकर्ता लिंक पर क्लिक करता है, तो उन्हें एक धोखाधड़ी वाले “सत्यापन” पृष्ठ पर पुनः निर्देशित किया जाता है जो आधिकारिक फेसबुक या व्हाट्सएप वेब इंटरफ़ेस की नकल करता है। यहां, हमलावर खाते से समझौता करने के लिए दो मुख्य प्रकार का उपयोग करते हैं:
पेयरिंग कोड वैरिएंट: फर्जी साइट उपयोगकर्ता को अपना फोन नंबर दर्ज करने के लिए कहती है। पर्दे के पीछे, हमलावर अपने ब्राउज़र पर एक वैध “फ़ोन नंबर से लिंक करें” अनुरोध शुरू करता है। इसके बाद व्हाट्सएप 8 अंकों का पेयरिंग कोड जेनरेट करता है, जिसे हमलावर वापस फर्जी साइट पर भेज देता है। पीड़ित, यह मानते हुए कि यह एक मानक सुरक्षा जांच है, अपने व्हाट्सएप ऐप में कोड दर्ज करता है, अनजाने में हमलावर के ब्राउज़र को “विश्वसनीय” डिवाइस के रूप में अधिकृत करता है।
QR कोड वैरिएंट: कुछ मामलों में, फ़िशिंग साइट हमलावर के व्हाट्सएप वेब सत्र से एक वास्तविक समय क्यूआर कोड एम्बेड करती है। यदि पीड़ित अपनी पहचान को “सत्यापित” करने के लिए अपने मोबाइल ऐप से इस कोड को स्कैन करता है, तो हमलावर तुरंत लॉग इन हो जाता है।
यह अत्यधिक खतरनाक क्यों है?
इस जोड़ी की “भूतिया” प्रकृति इसकी सबसे घातक विशेषता है। क्योंकि हमला आधिकारिक लिंक्ड डिवाइसेस प्रोटोकॉल का उपयोग करता है, यह “नया लॉगिन” अलर्ट ट्रिगर नहीं करता है जिसके लिए आमतौर पर एक द्वितीयक ओटीपी की आवश्यकता होती है। पीड़ित का प्राथमिक फोन सामान्य रूप से काम करता रहता है, बिना किसी मजबूर लॉगआउट के, जिससे हमलावर को कई दिनों या यहां तक कि हफ्तों तक मूक पर्यवेक्षक बने रहने की अनुमति मिलती है।
इस समय के दौरान, वे सभी इनकमिंग और आउटगोइंग संचार की निगरानी कर सकते हैं और यहां तक कि पीड़ित की संपूर्ण संपर्क सूची और समूह चैट में “घोस्टपेयरिंग” का लालच फैलाने के लिए उपयोगकर्ता का प्रतिरूपण भी कर सकते हैं।
अपने खाते की सुरक्षा कैसे करें
CERT-In ने सभी भारतीय “डिजिटल नागरिकों” से आग्रह किया है कि वे ज्ञात संपर्कों से भी अवांछित लिंक प्राप्त करते समय अत्यधिक सावधानी बरतें। अपना खाता सुरक्षित करने के लिए:
अपने उपकरणों का ऑडिट करें: अपने व्हाट्सएप ऐप में सेटिंग्स> लिंक्ड डिवाइसेस पर जाएं। यदि आपको कोई अपरिचित ब्राउज़र या ऑपरेटिंग सिस्टम दिखाई देता है (उदाहरण के लिए, “Google Chrome – macOS” जब आप केवल विंडोज़ का उपयोग करते हैं), तो उसे तुरंत लॉग आउट करें।
दो-चरणीय सत्यापन सक्षम करें (2SV): अपनी खाता सेटिंग में एक कस्टम 6-अंकीय पिन सेट करें। यह सुरक्षा की एक महत्वपूर्ण परत जोड़ता है जिसे एक युग्मित डिवाइस आसानी से बायपास नहीं कर सकता है।
कभी भी बाहरी रूप से जोड़ी न बनाएं: किसी गैर-आधिकारिक वेबसाइट पर कभी भी क्यूआर कोड को स्कैन न करें या पेयरिंग कोड दर्ज न करें। वास्तविक व्हाट्सएप पेयरिंग केवल आपके फोन और आधिकारिक व्हाट्सएप एप्लिकेशन या web.whatsapp.com के बीच होती है।
21 दिसंबर, 2025, 05:53 IST
और पढ़ें
