GhostPairing’ अटैक से बिना OTP के हैक हो रहा WhatsApp अकाउंट, CERT-In ने जारी की हाई-सेवियरिटी वार्निंग
WhatsApp GhostPairing Attack Alert | भारतीय साइबर सिक्योरिटी एजेंसी CERT-In ने WhatsApp यूजर्स के लिए हाई-सेवियरिटी अलर्ट जारी किया है। एक नई साइबर अटैक कैंपेन ‘GhostPairing’ में हैकर्स WhatsApp की डिवाइस लिंकिंग फीचर का दुरुपयोग कर यूजर्स के अकाउंट पर कब्जा जमा रहे हैं। इस अटैक में न तो OTP की जरूरत पड़ती है, न पासवर्ड और न ही SIM स्वैप। हैकर्स रियल-टाइम में चैट्स पढ़ सकते हैं, मैसेज भेज सकते हैं और मीडिया एक्सेस कर सकते हैं।
GhostPairing अटैक क्या है और कैसे काम करता है?
यह अटैक पूरी तरह सोशल इंजीनियरिंग पर आधारित है और WhatsApp की लीगल ‘लिंक्ड डिवाइसेस’ फीचर का फायदा उठाता है। अटैक इस तरह होता है:
- पीड़ित को किसी ज्ञात कॉन्टैक्ट (जिसका अकाउंट पहले ही हैक हो चुका होता है) से मैसेज आता है, जैसे “Hi, check this photo” या “मुझे फेसबुक पर तुम्हारी फोटो मिली”।
- मैसेज में एक लिंक होता है, जो फेसबुक स्टाइल प्रीव्यू दिखाता है।
- लिंक पर क्लिक करने पर फेक वेबसाइट खुलती है, जो फेसबुक या WhatsApp जैसी लगती है और “वेरिफाई करने” या फोटो देखने के लिए फोन नंबर मांगती है।
- यूजर नंबर डालते ही हैकर WhatsApp की “Link Device via Phone Number” फीचर से पेयरिंग रिक्वेस्ट भेजता है।
- फेक साइट पर 8-Digit पेयरिंग कोड दिखाया जाता है, जिसे यूजर को WhatsApp में एंटर करने को कहा जाता है (यह कोड असली होता है)।
- कोड एंटर करते ही हैकर का ब्राउजर यूजर के अकाउंट से ‘ट्रस्टेड लिंक्ड डिवाइस’ बन जाता है।
इसके बाद हैकर को WhatsApp Web जैसी फुल एक्सेस मिल जाती है:
- सभी चैट्स रियल-टाइम में पढ़ना।
- फोटो, वीडियो, वॉइस नोट्स डाउनलोड करना।
- यूजर की तरफ से मैसेज भेजना (अटैक को आगे फैलाने के लिए)।
- सबसे खतरनाक: यूजर के फोन पर WhatsApp नॉर्मल चलता रहता है, कोई अलर्ट नहीं आता और हैकिंग का पता नहीं चलता।
यह अटैक सबसे ज्यादा WhatsApp Web या लिंक्ड डिवाइसेस यूज करने वालों को टारगेट करता है।
CERT-In की वार्निंग और बचाव के उपाय
CERT-In ने इसे ‘हाई’ सेवियरिटी रेटिंग दी है और कहा है कि यूजर्स को कोई अलर्ट या संकेत नहीं मिलता। बचाव के लिए ये सलाह दी गई है:
- किसी भी संदिग्ध लिंक पर क्लिक न करें, भले मैसेज ज्ञात व्यक्ति से आए (उनका अकाउंट हैक हो सकता है)।
- कभी भी बाहरी वेबसाइट पर अपना WhatsApp नंबर या पेयरिंग कोड न डालें।
- नियमित रूप से WhatsApp में Settings > Linked Devices चेक करें और अनजान डिवाइसेस को लॉगआउट करें।
- Two-Step Verification (PIN) जरूर इनेबल करें – इससे अटैक का असर कम हो सकता है।
- QR कोड स्कैन या पेयरिंग कोड केवल ऑफिशियल WhatsApp Web/Dekstop पर ही यूज करें।
- अगर संदेह हो तो कॉन्टैक्ट से वेरिफाई करें कि मैसेज उन्होंने भेजा है या नहीं।
यह अटैक पहले चेकिया में देखा गया, लेकिन अब भारत समेत अन्य देशों में फैल रहा है। WhatsApp से इस पर अभी आधिकारिक रिस्पॉन्स का इंतजार है। यूजर्स सतर्क रहें और अनजान लिंक्स से दूर रहें, ताकि आपका अकाउंट सुरक्षित रहे।
यह भी पढ़े…
26 दिसंबर 2025 से लंबी दूरी की ट्रेनें महंगी, भोपाल-दिल्ली रूट पर करीब 14 रुपये ज्यादा देने होंगे
मैं इंदर सिंह चौधरी वर्ष 2005 से पत्रकारिता के क्षेत्र में सक्रिय हूं। मैंने मास कम्यूनिकेशन में स्नातकोत्तर (M.A.) किया है। वर्ष 2007 से 2012 तक मैं दैनिक भास्कर, उज्जैन में कार्यरत रहा, जहाँ पत्रकारिता के विभिन्न पहलुओं का व्यावहारिक अनुभव प्राप्त किया।
वर्ष 2013 से 2023 तक मैंने अपना मीडिया हाउस ‘Hi Media’ संचालित किया, जो उज्जैन में एक विश्वसनीय नाम बना। डिजिटल पत्रकारिता के युग में, मैंने सितंबर 2023 में पुनः दैनिक भास्कर से जुड़ते हुए साथ ही https://mpnewsbrief.com/ नाम से एक न्यूज़ पोर्टल शुरू किया है। इस पोर्टल के माध्यम से मैं करेंट अफेयर्स, स्वास्थ्य, ज्योतिष, कृषि और धर्म जैसे विषयों पर सामग्री प्रकाशित करता हूं। फ़िलहाल मैं अकेले ही इस पोर्टल का संचालन कर रहा हूं, इसलिए सामग्री सीमित हो सकती है, लेकिन गुणवत्ता से कोई समझौता नहीं होता।
