Capcana autentificării prin cod QR pe WhatsApp Web nu are legătură cu o vulnerabilitate tehnică a aplicației, ci cu modul în care funcționează conectarea dispozitivelor și cu felul în care utilizatorii pot fi păcăliți să ofere acces fără să-și dea seama.
Autentificarea pe WhatsApp Web sau pe aplicația desktop se face printr-un sistem simplu: browserul afișează un cod QR, iar utilizatorul îl scanează cu telefonul pentru a confirma că acel calculator poate accesa contul.
În acel moment, serverele creează o sesiune sincronizată între telefon și dispozitivul conectat. Practic, codul QR funcționează ca o cheie temporară de autentificare.
Problema apare atunci când această funcție legitimă este folosită într-un context înșelător.
Cum apare frauda prin „Log-in Web”
Atacatorii nu sparg conturi și nu folosesc programe sofisticate. În multe cazuri, creează pur și simplu o pagină web care imită interfața WhatsApp Web sau trimit un link care pare legitim. Pe acel site este afișat un cod QR real de conectare.
Dacă utilizatorul scanează acel cod, dispozitivul atacatorului devine unul dintre dispozitivele conectate la contul WhatsApp. Accesul este acordat chiar de către utilizator, fără să fie nevoie de parole sau de instalarea unui virus.
Această metodă este un exemplu clasic de inginerie socială, adică manipularea comportamentului uman pentru a obține acces la informații.
Ce acces poate obține cineva
Un dispozitiv conectat la WhatsApp Web poate vedea conversațiile existente și mesajele noi, poate descărca fișiere primite și poate urmări activitatea contului.
Accesul nu se extinde la alte aplicații din telefon, dar informațiile din chat pot fi suficiente pentru fraude, furt de identitate sau alte tentative de înșelăciune.
De aceea, autentificarea prin QR trebuie tratată cu aceeași atenție ca introducerea unei parole.
Cum poate fi verificată o conexiune suspectă
WhatsApp permite verificarea rapidă a tuturor sesiunilor active. În meniul aplicației există secțiunea „Dispozitive conectate”, unde sunt afișate toate browserele sau calculatoarele care au acces la cont, împreună cu ultima activitate.
Dacă apare un dispozitiv necunoscut, acesta poate fi deconectat imediat. În momentul deconectării, sesiunea este închisă automat pe server, iar accesul dispare.
De ce funcționează această metodă
Codurile QR sunt percepute de utilizatori ca fiind sigure, deoarece sunt folosite frecvent pentru plăți, bilete electronice sau autentificare. Tocmai această familiaritate reduce vigilența. Oamenii tind să scaneze coduri fără să verifice sursa, mai ales atunci când li se spune că este necesar pentru „confirmarea contului” sau „activarea unui serviciu”.
În realitate, WhatsApp nu solicită autentificarea prin QR în afara paginii oficiale WhatsApp Web sau a aplicației desktop.
Regula de bază
Un cod QR pentru autentificare oferă acces direct la contul de WhatsApp. Din acest motiv, trebuie scanat doar atunci când utilizatorul inițiază personal conectarea pe un calculator propriu sau de încredere.
Riscul nu vine din tehnologie, ci din contextul în care este folosită. Sistemul de autentificare este sigur, însă poate deveni periculos atunci când utilizatorii sunt convinși să îl folosească pe site-uri sau în situații neoficiale.
