أسلوب احتيالي جديد يهدد حسابات "واتساب" دون كسر التشفير

كشف باحثون في مجال الأمن السيبراني عن أسلوب احتيالي جديد يمكّن قراصنة الإنترنت من اختراق حسابات "واتساب" عبر استغلال ثغرات تتعلق بآلية ربط الأجهزة، دون الحاجة إلى كسر تشفير التطبيق.
وأوضح باحثو شركة "أفاست" أن عملية الاحتيال، المعروفة باسم "GhostPairing"، تعتمد على استخدام ميزات شرعية داخل التطبيق لخداع المستخدمين وربط حساباتهم بجهاز يتحكم فيه المهاجم، مما يتيح له الوصول المباشر إلى الرسائل والصور ومقاطع الفيديو والملاحظات الصوتية.
تبدأ العملية بإرسال رسالة إلى الضحية تبدو وكأنها واردة من جهة اتصال موثوقة، وتتضمن رابطاً يدّعي عادة عرض صورة. يقود هذا الرابط المستخدم إلى صفحة تسجيل دخول مزيفة على "فيسبوك" تطلب منه إدخال رقم هاتفه.
بدلاً من عرض المحتوى المزعوم، تقوم الصفحة بتفعيل ميزة "ربط الأجهزة" في "واتساب"، من خلال عرض رمز يُطلب من الضحية إدخاله داخل التطبيق. ويؤدي ذلك، دون علم المستخدم، إلى ربط جهاز غير معروف بالحساب، مما يمنح المهاجم وصولاً كاملاً دون الحاجة إلى كلمة مرور أو أي بيانات اعتماد أخرى.
بمجرد السيطرة على الحساب، يستطيع المخترق إرسال رسائل إلى جهات اتصال الضحية، مستغلاً الثقة المتبادلة لنشر الهجوم وتنفيذ عمليات اختراق إضافية.
وقال لويس كورونز، خبير الأمن في "أفاست"، إن "هذه الحملة تعكس تحوّلاً متزايداً في الجرائم الإلكترونية، حيث أصبح استغلال ثقة المستخدمين لا يقل أهمية عن اختراق الأنظمة التقنية نفسها". وأضاف أن "المحتالين يقنعون المستخدمين بمنح الوصول بأنفسهم، من خلال إساءة استخدام أدوات مألوفة مثل رموز الاستجابة السريعة وطلبات ربط الأجهزة وشاشات التحقق التي تبدو روتينية".
وأشار إلى أن "عمليات الاحتيال من هذا النوع لا تمثل مشكلة تخص واتس آب وحده، بل تشكل تحذيراً لأي منصة تعتمد على ربط الأجهزة بسرعة ومن دون توضيح كافٍ للمستخدم".
وفي هذا السياق، دعت "أفاست" مستخدمي "واتساب" إلى "التحقق دورياً من الأجهزة المرتبطة بحساباتهم عبر الدخول إلى الإعدادات ثم الأجهزة المرتبطة، مع ضرورة إزالة أي جهاز غير معروف فوراً". وختم كورونز بالتأكيد على أن "تطور أساليب الاحتيال يستدعي إعادة التفكير في آليات المصادقة، بحيث لا تقتصر على ما يفعله المستخدم عن قصد، بل تأخذ في الحسبان أيضاً ما يمكن خداعه للقيام به، خاصة عندما تتحول الثقة التلقائية بالأجهزة إلى نقطة ضعف قابلة للاستغلال."