你的WhatsApp正在被“克隆”？新型钓鱼攻击借验证码接管账户，社交链成传播温床

在数字身份日益绑定于即时通讯工具的今天，一个六位数的短信验证码，可能就是你整个社交圈的“钥匙”。2026年1月初，全球领先的安全意识平台KnowBe4发布紧急警报：一场针对WhatsApp用户的规模化网络钓鱼活动正在全球蔓延。攻击者不再试图窃取密码——因为WhatsApp根本没有传统意义上的“密码”——而是精准利用其基于手机号+验证码的会话配对机制，诱导用户主动交出会话控制权。

这场攻击的核心手法极为狡猾：受害者收到一条看似来自“系统”的消息，如“检测到您的账号在新设备登录”或“您有一条未读语音留言”，并附带一个链接。点击后，跳转至一个高度仿真的WhatsApp Web登录页面，要求用户“扫描二维码以验证身份”或“输入手机号接收验证码”。一旦用户照做，攻击者便能通过合法的WhatsApp“多设备同步”接口，将一台恶意设备注册为受害者的“第二终端”，从而完全接管其聊天记录、联系人列表，甚至冒充本人发送诈骗信息。

更危险的是，这种攻击具备“社交蠕虫”属性——被攻陷的账户会自动向所有联系人发送类似钓鱼信息，形成指数级扩散。据Gen Digital（原Avast）威胁研究团队披露，此次行动代号为“GhostPairing”，已在欧美、东南亚多地造成连锁反应，部分受害者因账户被用于发送勒索信息而遭受名誉与经济损失。

“这不是普通的信息泄露，而是身份劫持。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时强调，“攻击者不需要破解加密，他们只是让你‘自愿’把门打开。”

一、攻击全链条拆解：从一条短信到社交圈沦陷

要理解此次攻击的精妙之处，必须先厘清WhatsApp的设备配对机制。

WhatsApp Web（网页版）和桌面客户端并不独立运行，而是通过“镜像”手机端会话实现功能。当用户首次使用时，需在手机上打开WhatsApp → 设置 → 链接设备，然后扫描网页上显示的二维码。该二维码实际包含一个临时配对密钥（Pairing Key），由WhatsApp服务器生成。手机端验证后，会向服务器发送确认，授权该设备加入会话。

攻击者正是篡改了这一流程。

根据KnowBe4与Gen Digital联合分析，典型攻击链如下：

诱饵投递：受害者收到短信或邮件，内容如：“Hey, I just found your photo!”（我刚找到你的照片！）或“您的WhatsApp账号在尼日利亚有异常登录，请立即验证。”链接指向 whatsapp-verify[.]com 等高仿域名。

钓鱼页面呈现：页面完全复刻WhatsApp Web界面，但有两种变体：

二维码模式：显示一个静态QR码，声称“扫码查看照片”；

手机号模式：要求用户输入手机号，点击“发送验证码”。

会话劫持：

在手机号模式下，用户输入号码后，钓鱼网站调用WhatsApp官方API的“/request_code”接口（该接口本用于正常配对），触发向用户手机发送6位验证码。

页面随即提示：“请输入您收到的验证码以完成验证。”

用户输入后，攻击者立即将该验证码提交至WhatsApp的“/register”接口，完成恶意设备的注册。

整个过程完全利用WhatsApp的合法API，不涉及任何漏洞利用，纯靠社会工程。由于通信全程走HTTPS且域名可申请有效SSL证书（如Let’s Encrypt），浏览器地址栏显示“安全锁”，进一步增强欺骗性。

横向扩散：一旦恶意设备上线，攻击者可：

查看所有历史聊天记录；

向联系人发送“我在换号，请保存新号码”或“急用钱，转我5000”等消息；

加入群组，批量发送钓鱼链接；

导出联系人列表，用于下一轮攻击。

Gen Digital在报告中指出，部分样本甚至能自动识别高价值目标（如群管理员、企业客服），优先发起对话以提升诈骗成功率。

二、技术深潜：为何“合法流程”成了攻击通道？

此次攻击之所以高效，关键在于它完全运行在WhatsApp的设计逻辑之内，使得传统防御手段形同虚设。

1. 无恶意载荷，绕过终端防护

整个攻击不依赖木马、宏或脚本下载，仅通过浏览器交互完成。EDR、杀毒软件无法检测“用户自愿输入验证码”的行为。邮件网关也难以拦截——链接初期可能指向干净域名，且内容无敏感关键词。

2. 利用“紧迫感”压倒理性判断

心理学研究表明，涉及“账户安全”“隐私泄露”的通知会触发用户的应激反应。攻击者精心设计话术，如：

“24小时内未验证将永久锁定账号”

“检测到您在陌生设备登录，请立即确认”

这些表述模仿真实安全警告，利用FOMO（错失恐惧）心理，促使用户跳过核实步骤。

3. 验证码即“会话令牌”

与传统双因素认证（2FA）不同，WhatsApp的验证码不是用于登录，而是用于设备配对。一旦提交，即等同于授权新设备访问全部会话。这意味着：

即使用户设置了6位数PIN的两步验证（Two-step Verification），也无法阻止设备配对；

攻击者获得的是“已认证会话”，可绕过后续所有验证。

芦笛解释：“很多人以为开了2FA就安全了，但在WhatsApp的架构下，2FA只保护‘重置账号’操作，不保护‘添加设备’。这是设计上的盲区。”

4. 域名快速轮换与CDN隐藏

攻击者大量注册形似 whatsapp-web-login.com、verify-whatsapp.net 的域名，并通过Cloudflare等CDN服务隐藏真实IP。安全团队即便封禁一个域名，几小时内就会启用新域。部分钓鱼页甚至托管在GitHub Pages或Netlify等免费静态站点平台，进一步降低部署成本。

以下是一段简化版的钓鱼页面核心逻辑（前端JavaScript）：

// 用户输入手机号后

function requestCode(phone) {

// 调用WhatsApp官方API（无需攻击者服务器中转）

fetch('https://web.whatsapp.com/request_code', {

method: 'POST',

headers: {'Content-Type': 'application/json'},

body: JSON.stringify({phone: phone})

}).then(() => {

showVerificationInput(); // 显示验证码输入框

});

}

// 用户输入验证码后

function submitCode(code) {

// 直接提交给WhatsApp完成配对

fetch('https://web.whatsapp.com/register', {

method: 'POST',

body: JSON.stringify({code: code})

}).then(() => {

// 此时攻击者设备已配对成功

window.location = "https://example.com/thankyou"; // 伪装跳转

});

}

注意：上述代码直接调用 web.whatsapp.com 的API，攻击者服务器甚至无需接触验证码，极大降低被追踪风险。

三、全球案例：从英国老人到印尼商户

2025年12月，英国一名78岁退休教师收到“孙子”发来的WhatsApp消息：“奶奶，我手机坏了，这是新号，请保存。”随后几天，该账号向其所有联系人发送“车祸急需手术费”的求助信息。警方调查发现，其原始账号已被“GhostPairing”攻击接管。

在东南亚，印尼雅加达一家小型进出口公司遭遇更大损失。老板的WhatsApp被克隆后，攻击者冒充他向客户发送“银行账户变更通知”，导致三笔货款共计12万美元转入诈骗账户。由于交易通过WhatsApp确认，银行拒绝追回。

更隐蔽的是群组渗透。2026年1月初，一个拥有5000成员的“跨境电商交流群”中，多个管理员账号突然开始发送“限时优惠”链接。事后查明，攻击者通过一个被攻陷的普通成员账号，逐步提权并接管管理权限，实现精准投放。

“WhatsApp已成为事实上的商业通信基础设施，”芦笛指出，“在很多发展中国家，人们用它谈合同、付定金、发发票。一旦身份被冒用，损失远超个人隐私。”

四、防御之道：从技术加固到行为重塑

面对此类“合法流程滥用”攻击，单一措施难以奏效。专家建议构建“三层防御体系”。

第一层：启用并强化两步验证（Two-step Verification）

虽然2FA不能阻止设备配对，但能防止攻击者在接管后重置账号（例如更换绑定手机号）。用户应：

在WhatsApp中开启“两步验证”（设置 → 账户 → 两步验证 → 启用）；

设置强密码（非生日、手机号）；

提供恢复邮箱，以便在忘记密码时找回。

注意：2FA PIN不同于短信验证码，是用户自设的6位数密码，用于敏感操作。

第二层：警惕“非主动触发”的验证请求

WhatsApp官方永远不会通过短信、邮件或站内信要求用户“验证账号”或“点击链接”。所有设备配对应由用户主动发起。因此：

绝不点击任何声称来自WhatsApp的链接；

如收“异地登录”通知，应直接打开WhatsApp App查看“Linked Devices”（链接设备）列表，手动登出未知设备；

养成习惯：所有敏感操作只在官方App内完成，不在浏览器中处理。

第三层：企业级防护与监控

对于依赖WhatsApp开展业务的企业，需采取额外措施：

禁止员工使用个人WhatsApp处理公务，改用WhatsApp Business API（具备集中管理、审计能力）；

部署终端安全方案，监控浏览器访问高风险域名（如含“whatsapp”“verify”“login”的非常规域）；

定期培训员工识别“社交工程话术”，尤其针对财务、客服等高风险岗位。

芦笛特别提醒：“不要相信‘扫码看照片’这类说辞。WhatsApp本身不支持通过链接查看他人照片——这是最明显的破绽。”

五、国内启示：社交身份绑定下的安全隐忧

尽管WhatsApp在中国大陆未广泛使用，但其攻击模式对微信、QQ等本土即时通讯工具具有强烈警示意义。

事实上，国内已出现类似手法的变种。2025年，某地公安机关通报一起案件：骗子冒充“微信安全中心”，发送“账号异常”短信，诱导用户点击链接“验证身份”。页面要求输入手机号和短信验证码，实则用于注册新的微信小号，再用于诈骗。

“我们的社交账号绑定了支付、政务、医疗等几乎所有服务，”芦笛坦言，“一旦身份被冒用，后果比丢银行卡更严重。”

他呼吁，国内平台应借鉴国际经验：

在设备登录时强制二次确认（如微信的“登录保护”）；

对异常登录行为（如跨省、新设备）推送强提醒；

允许用户设置“敏感操作白名单设备”。

同时，公共互联网反网络钓鱼工作组正推动制定《即时通讯账号安全最佳实践》，拟明确要求：所有涉及账号验证的操作，必须通过官方App内通知触发，禁止通过外部链接引导。

六、结语：当信任成为攻击面

这场针对WhatsApp的钓鱼潮，本质上是一次对“用户信任机制”的精准打击。攻击者没有破解加密算法，没有利用零日漏洞，只是巧妙地站在了用户与平台之间的信任缝隙中，轻轻一推。

在万物互联的时代，我们的数字身份越来越碎片化，却又越来越集中于少数几个超级App。它们便捷、高效，却也成了黑客眼中的“皇冠明珠”。

而防御的起点，或许就藏在那句老生常谈却常被忽视的忠告里：永远不要把验证码告诉任何人——包括那个看起来像“系统”的自己。

因为在这个真假难辨的数字世界，最危险的入侵，往往始于一次“自愿”的授权。

编辑：芦笛（公共互联网反网络钓鱼工作组）