كشف باحثون في مجال الأمن السيبراني عن أسلوب احتيالي جديد يمكّن قراصنة الإنترنت من اختراق حسابات تطبيق "واتس آب" دون الحاجة إلى كسر نظام التشفير، عبر استغلال ثغرات تتعلق بآلية ربط الأجهزة داخل التطبيق.

وأوضح باحثو شركة "أفاست" للأمن السيبراني أن هذا الهجوم، المعروف باسم GhostPairing، يعتمد على استخدام ميزات شرعية في "واتس آب" لخداع المستخدمين، وربط حساباتهم بأجهزة يتحكم بها المهاجمون، ما يمنحهم وصولاً مباشراً إلى الرسائل والصور ومقاطع الفيديو والملاحظات الصوتية.

وتبدأ عملية الاحتيال عادة برسالة تبدو واردة من جهة اتصال موثوقة، تتضمن رابطاً يُدّعى أنه لعرض صورة أو محتوى معين. ويقود الرابط الضحية إلى صفحة تسجيل دخول مزيفة على "فيسبوك" تطلب إدخال رقم الهاتف، قبل أن يتم تفعيل ميزة "ربط الأجهزة" عبر عرض رمز يُطلب من المستخدم إدخاله داخل تطبيق "واتس آب"، ما يؤدي – دون علمه – إلى ربط جهاز غير معروف بحسابه.

وبمجرد نجاح الاختراق، يستطيع المهاجم استخدام الحساب لإرسال رسائل إلى جهات اتصال الضحية، مستغلاً الثقة المتبادلة لنشر الهجوم وتنفيذ عمليات اختراق إضافية على نطاق أوسع.

وقال لويس كورونز، خبير الأمن في "أفاست"، إن هذه الحملة تعكس تحولاً متزايداً في الجرائم الإلكترونية، حيث أصبح استغلال ثقة المستخدمين لا يقل خطورة عن اختراق الأنظمة التقنية نفسها، مؤكداً أن المحتالين يدفعون المستخدمين لمنح الوصول بأنفسهم عبر إساءة استخدام أدوات مألوفة مثل رموز الاستجابة السريعة وطلبات ربط الأجهزة.

ودعت "أفاست" مستخدمي "واتس آب" إلى التحقق بشكل دوري من الأجهزة المرتبطة بحساباتهم من خلال الإعدادات، وإزالة أي جهاز غير معروف فوراً، محذّرة من أن تطور أساليب الاحتيال يستوجب إعادة النظر في آليات المصادقة والحماية الرقمية.