สรุปสั้น
ผู้ใช้ WhatsApp กำลังตกเป็นเป้าหมายของเทคนิคหลอกลวงเชิงวิศวกรรมสังคม (Social Engineering) ที่ชื่อ GhostPairing ซึ่งเปิดทางให้มิจฉาชีพเข้าถึงบัญชีได้โดยไม่ต้องใช้รหัสผ่านหรือรหัสยืนยันแบบใช้ครั้งเดียว (OTP) แทนที่จะเจาะเข้าบริการโดยตรง การหลอกลวงนี้กลับฉวยใช้ฟีเจอร์การเชื่อมอุปกรณ์ (Device Linking) ที่ถูกต้องของ WhatsApp และอาศัยการโน้มน้าวให้เหยื่ออนุมัติการเชื่อมต่ออุปกรณ์ใหม่ ความเสี่ยงนั้นร้ายแรงเพราะอุปกรณ์ที่ถูกเชื่อมเข้ามาจะทำให้ผู้โจมตีสามารถอ่านข้อความ เฝ้าดูบทสนทนา สวมรอยเป็นเจ้าของบัญชี และเข้าหาผู้ติดต่อด้วยคำขอเร่งด่วน สร้างเส้นทางที่คุ้นเคยไปสู่การฉ้อโกงการชำระเงินและการปลอมแปลงตัวตนในวงกว้าง โดยเฉพาะเมื่อคนร้ายฉวยใช้ความไว้วางใจที่ผูกอยู่กับบัญชี WhatsApp ที่รู้จัก นักวิเคราะห์จากบริษัท GenDigital ระบุว่า GhostPairing เป็นส่วนหนึ่งของการเปลี่ยนแปลงที่กว้างขึ้น ที่อาชญากรกำลังย้ายกิจกรรมเข้าไปในพื้นที่ดิจิทัลที่น่าเชื่อถือ แทนที่จะพึ่งพาไฟล์อันตรายหรือหน้าล็อกอินปลอมแบบเดิม
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า บริษัท GenDigital ได้เปิดเผยเทคนิค GhostPairing ในรายงานที่แบ่งปันกับ Cyber Security News (CSN) โดยระบุว่าเทคนิคนี้เปลี่ยนฟังก์ชันการจัดการบัญชีปกติให้กลายเป็นช่องทางเข้าสู่การยึดบัญชี (Account Takeover) แคมเปญนี้ยังสะท้อนว่าเหตุใดความปลอดภัยของรหัสผ่านเพียงอย่างเดียวจึงไม่สามารถหยุดการเจาะบัญชีทุกกรณีได้ เพราะเหยื่ออาจเก็บรหัสผ่านเป็นความลับ แต่ก็ยังสูญเสียการควบคุมได้หากถูกหลอกให้เชื่อมอุปกรณ์ที่ผู้โจมตีควบคุม ทำให้การตรวจสอบอย่างรอบคอบและการเช็กบัญชีเป็นประจำเป็นสิ่งจำเป็น
GhostPairing เริ่มต้นด้วยการหลอกลวงมากกว่าการใช้ช่องโหว่ทางเทคนิค มิจฉาชีพจะติดต่อเป้าหมายผ่านข้อความ โพสต์บนโซเชียลมีเดีย คำขอความช่วยเหลือจากฝ่ายสนับสนุนปลอม หรือข้ออ้างที่ดูน่าเชื่ออื่น ๆ แล้วชี้นำเหยื่อไปยัง QR code หรือคำขอเชื่อมต่อที่ดูไม่มีพิษภัย เป้าหมายคือทำให้เหยื่อใช้ขั้นตอนการเชื่อมอุปกรณ์คู่หู (Companion-device Workflow) ของ WhatsApp แทนผู้โจมตี เมื่ออุปกรณ์ใหม่ได้รับการอนุมัติแล้ว คนร้ายจะได้ช่องทางเข้าถึงแชตของเหยื่อแบบต่อเนื่องโดยไม่จำเป็นต้องรู้รหัสผ่านบัญชี ทำให้วิธีนี้อันตรายเป็นพิเศษ เพราะเหยื่ออาจไม่สังเกตเห็นการถูกเจาะในทันที ขณะที่ผู้โจมตีสามารถศึกษาบทสนทนาอย่างเงียบ ๆ ก่อนลงมือฉ้อโกง
หลังจากนั้นผู้โจมตีอาจสวมรอยเป็นเหยื่อ ขอเงินจากเพื่อนหรือเพื่อนร่วมงาน เก็บรวบรวมรายละเอียดที่อ่อนไหวจากแชต หรือใช้บทสนทนาที่กู้คืนมาเพื่อทำให้ข้อความในภายหลังดูน่าเชื่อถือมากขึ้น สำหรับองค์กร บัญชีพนักงานที่ถูกยึดยังสามารถใช้สนับสนุนการหลอกลวงใบแจ้งหนี้ การปลอมเป็นผู้บริหาร และการฟิชชิงแบบเจาะจงต่อพันธมิตรได้


วิธีการหลอกลวง
หัวใจของ GhostPairing คือการฉวยใช้ฟีเจอร์การเชื่อมอุปกรณ์คู่หูของ WhatsApp ซึ่งออกแบบมาให้ผู้ใช้เชื่อมบัญชีเข้ากับคอมพิวเตอร์หรืออุปกรณ์อื่นได้โดยการสแกน QR code แทนที่จะโจมตีระบบ คนร้ายกลับหลอกให้เหยื่อเป็นผู้สแกน QR code ที่คนร้ายสร้างขึ้นด้วยตัวเอง เมื่อสแกนแล้วอุปกรณ์ของคนร้ายจะถูกเชื่อมเข้ากับบัญชีของเหยื่อทันที ต่างจากการฟิชชิงทั่วไปที่ต้องหลอกขโมยรหัสผ่านหรือ OTP เพราะขั้นตอนนี้เป็นกลไกที่ถูกต้องของ WhatsApp เอง จึงไม่มีการแจ้งเตือนว่าเป็นสิ่งผิดปกติชัดเจน และไม่ต้องอาศัยมัลแวร์หรือหน้าเว็บปลอม ผู้โจมตีจึงได้หน้าต่างเข้าถึงบทสนทนาของเหยื่อแบบถาวรจนกว่าเหยื่อจะลบอุปกรณ์นั้นออกด้วยตัวเอง กรณีการยึดเซสชัน WhatsApp Web ที่ผ่านมาแสดงให้เห็นว่าเซสชันการรับส่งข้อความที่ถูกเจาะสามารถถูกนำไปใช้ฉ้อโกงเชิงธุรกิจได้อย่างรวดเร็ว
ผลกระทบต่อไทย
WhatsApp แม้จะไม่ใช่แอปแชตหลักของคนไทยเท่า LINE แต่ก็มีผู้ใช้จำนวนมากในกลุ่มที่ติดต่อธุรกิจหรือคนต่างชาติ และที่สำคัญคือเทคนิค GhostPairing ที่ฉวยใช้ฟีเจอร์เชื่อมอุปกรณ์ด้วย QR code เป็นหลักการเดียวกับที่ใช้โจมตี LINE และแอปแชตอื่นที่มีฟีเจอร์ลักษณะนี้ ซึ่งเป็นภัยที่คนไทยเผชิญอยู่แล้ว การหลอกให้สแกน QR code หรืออนุมัติการเชื่อมต่อโดยอ้างว่าเป็นการ “ยืนยันตัวตน” หรือ “รักษาความปลอดภัยบัญชี” เป็นกลลวงที่ได้ผลกับผู้ใช้ที่ไม่คุ้นเคยกับกลไกนี้ เมื่อบัญชีถูกยึด คนร้ายมักสวมรอยขอยืมเงินหรือหลอกให้โอนเงินจากคนในรายชื่อผู้ติดต่อ ซึ่งเป็นรูปแบบการฉ้อโกงที่สร้างความเสียหายในไทยอย่างต่อเนื่อง
คำแนะนำ
ผู้ใช้ควรระวัง QR code ที่ไม่คาดคิด คำขอให้สแกนโค้ด และคำสั่งให้ “ยืนยัน” หรือ “รักษาความปลอดภัย” บัญชี ให้ถือว่าเป็นสัญญาณเตือน โดย WhatsApp ไม่จำเป็นต้องให้ผู้ใช้เชื่อมอุปกรณ์ที่ไม่คุ้นเคยเพื่อคงบัญชีให้ใช้งานได้ และคำขอใด ๆ ที่สร้างความเร่งด่วนควรตรวจสอบผ่านช่องทางอื่นที่เชื่อถือได้ก่อน ขั้นตอนป้องกันที่สำคัญที่สุดคือการตรวจสอบส่วน Linked Devices ในการตั้งค่า WhatsApp และลบเซสชันที่ไม่คุ้นเคยออกทันที ผู้ใช้ควรเปิดใช้การยืนยันแบบสองขั้นตอน (Two-step Verification) ตั้งล็อกหน้าจอโทรศัพท์ และไม่แชร์รหัสยืนยันหรือการเข้าถึงหน้าจอกับใครที่อ้างว่าให้บริการสนับสนุน ส่วนองค์กรควรกำหนดให้พนักงานยืนยันคำขอเรื่องการชำระเงินหรือข้อมูลที่ผิดปกติผ่านโทรศัพท์หรือช่องทางอิสระอื่น แทนที่จะเชื่อข้อความเพียงเพราะมาจากบัญชีที่คุ้นเคย
