GhostPairing je označenie pre pomerne novú podvodnú techniku, ktorá neútočí na WhatsApp „hekovaním“ v tradičnom zmysle, ale zneužíva jeho legitímnu funkciu prepojenia ďalších zariadení, teda WhatsApp Web a desktopové aplikácie. Podstatou je prinútiť obeť, aby sama – často v dobrej viere a v časovej tiesni – autorizovala pripojenie cudzieho zariadenia k svojmu účtu. Výsledok je pritom rovnaký, ako keby jej niekto účet ukradol: útočník získa prístup ku konverzáciám a môže sa vydávať za majiteľa profilu.

Scenár býva účelovo jednoduchý a spolieha sa na rutinu používateľov. Obeť dostane správu, neraz z účtu niekoho známeho, ktorý už bol kompromitovaný. Text správy býva krátky, naliehavý a láka na kliknutie: napríklad „Pozri, to si ty na fotke“ alebo „Niekto zverejnil tvoje video“. Odkaz následne otvorí stránku, ktorá napodobňuje dôveryhodnú službu alebo vytvára dojem, že ide o bežné prihlásenie či overenie. V tejto fáze prichádza kľúčový moment: používateľ je navedený na „overenie“, ktoré v skutočnosti nie je nič iné než krok potrebný na spárovanie ďalšieho zariadenia s jeho WhatsApp účtom. Namiesto toho, aby si obeť pridala vlastný počítač, pridá útočníkov.

V praxi to môže vyzerať dvoma spôsobmi. Buď je používateľ vyzvaný, aby naskenoval QR kód, alebo má zadať kód, ktorý sa tvári ako bezpečnostná kontrola. Ak tento krok dokončí, WhatsApp začne považovať útočníkovo zariadenie za „prepojené“. Keďže nejde o technickú chybu aplikácie, ale o autorizovaný proces, kompromitácia môže zostať určitý čas nenápadná. Útočník potom typicky číta správy, sleduje kontakty, získava kontext a snaží sa podvod ďalej šíriť – napríklad tak, že z vášho účtu začne písať známym žiadosti o peniaze alebo ďalšie „overenia“.

Najlepšou obranou je zmeniť návyk: nikdy neskenujte QR kód ani nezadávajte žiadny „overovací“ kód na základe odkazu, správy alebo cudzej inštrukcie. WhatsApp od vás pri bežnom otvorení fotografie či odkazu nevyžaduje párovanie zariadenia. Ak vás niekto tlačí do rýchleho potvrdenia alebo ak sa proces odohráva mimo aplikácie, berte to ako jasné varovanie.

Praktická kontrola je jednoduchá. V nastaveniach WhatsApp pravidelne prejdite do sekcie prepojených zariadení a skontrolujte, či tam nie je také, ktoré neviete identifikovať. Ak ho nájdete, okamžite ho odhláste. Zároveň si zapnite dvojstupňové overenie, čo značí, že si aktivujete šesťmiestny PIN a ideálne aj e-mail na obnovu. Tento krok síce nezabráni každému pokusu o manipuláciu, ale výrazne zvyšuje bezpečnosť účtu a znižuje šancu, že útočník získa trvalejšiu kontrolu.