كشف باحثون متخصصون في الأمن السيبراني عن أسلوب احتيالي جديد يتيح لقراصنة الإنترنت السيطرة على حسابات تطبيق واتس آب دون الحاجة إلى كسر التشفير أو اختراق الأنظمة التقنية المعقدة، عبر استغلال آلية ربط الأجهزة داخل التطبيق.
وأوضح باحثو شركة أفاست للأمن السيبراني أن الهجوم، المعروف باسم GhostPairing، يعتمد على توظيف ميزات رسمية ومشروعة داخل واتس آب بطريقة خادعة، تسمح للمهاجم بربط حساب الضحية بجهاز خارجي يتحكم فيه، ما يمنحه وصولًا مباشرًا إلى الرسائل والصور ومقاطع الفيديو والملاحظات الصوتية.
وبيّن الباحثون أن الهجوم يبدأ برسالة تصل إلى المستخدم وتبدو وكأنها مرسلة من جهة اتصال موثوقة، وتتضمن رابطًا يدّعي عرض صورة أو محتوى مرئي. وعند الضغط على الرابط، ينتقل الضحية إلى صفحة تسجيل دخول مزيفة على فيسبوك تطلب إدخال رقم الهاتف.
وبدلًا من عرض المحتوى المزعوم، تقوم الصفحة الاحتيالية بتفعيل ميزة ربط الأجهزة في واتس آب، من خلال إظهار رمز يُطلب من المستخدم إدخاله داخل التطبيق، ليجري ربط الحساب تلقائيًا بجهاز غير معروف دون إدراك الضحية لما يحدث.
ويؤدي هذا الإجراء إلى منح المهاجم سيطرة كاملة على الحساب، دون الحاجة إلى كلمة مرور أو رموز تحقق إضافية، ومع الوصول إلى الحساب يصبح بإمكانه مراسلة جهات الاتصال واستغلال الثقة المتبادلة لنشر الهجوم وتنفيذ عمليات اختراق أوسع نطاقًا.
وقال خبير الأمن السيبراني في شركة أفاست لويس كورونز إن هذا الأسلوب يعكس تحولًا لافتًا في طبيعة الجرائم الإلكترونية، حيث لم يعد التركيز مقتصرًا على اختراق الأنظمة، بل بات استغلال ثقة المستخدمين عنصرًا حاسمًا في نجاح الهجمات.
وأضاف أن المحتالين يدفعون المستخدمين إلى منحهم الوصول بأنفسهم، عبر إساءة استخدام أدوات مألوفة مثل رموز الاستجابة السريعة وطلبات ربط الأجهزة وشاشات التحقق التي تبدو طبيعية وروتينية.
وأشار كورونز إلى أن هذا النوع من الهجمات لا يهدد مستخدمي واتس آب وحدهم، بل يشكل إنذارًا أوسع لكل المنصات التي تعتمد على ربط الأجهزة السريع دون توضيح كافٍ للمخاطر المحتملة.
ودعت شركة أفاست مستخدمي واتس آب إلى مراجعة قائمة الأجهزة المرتبطة بحساباتهم بشكل دوري، عبر الدخول إلى الإعدادات ثم الأجهزة المرتبطة، مع إزالة أي جهاز غير معروف فورًا لحماية الحساب من الاختراق.
اترك تعليقاً