اختراق صامت يهدد مستخدمي واتساب.. السيطرة على الحساب دون علم الضحية
الترند العربي – متابعات
اكتُشف هجوم احتيالي جديد يمكّن المخترقين من الوصول الكامل إلى حسابات تطبيق واتساب دون علم المستخدمين، في واحدة من أخطر الهجمات الرقمية التي تعتمد على الخداع بدلًا من الثغرات التقنية.
وبحسب تقرير لمجلة «فوربس»، اطّلعت عليه «العربية Business»، يعتمد الهجوم على أساليب الهندسة الاجتماعية لاستهداف أرقام الهواتف، دون الحاجة إلى سرقة كلمات المرور أو اختراق الأنظمة الأمنية للتطبيق.
هجوم خفي يصعب اكتشافه
ويُعد هذا الهجوم تحديًا حقيقيًا للمستخدمين، نظرًا لطبيعته الخفية وصعوبة اكتشافه أو إيقافه، إلا في حال كان المستخدم على دراية بعلامات الخطر والتنبيهات غير المعتادة.
وحذّر خبراء الأمن السيبراني من أن هذه الطريقة تمنح المهاجمين وصولًا كاملًا إلى الحسابات دون الحاجة إلى سرقة بطاقات «SIM» أو رموز التحقق الثنائية.
ما هو هجوم “GhostPairing”؟
يُعرف هذا الهجوم باسم “GhostPairing”، أي «الاقتران الخفي»، ويستغل ميزة رسمية في تطبيق واتساب تُعرف بميزة «ربط الأجهزة»، والتي تتيح للمستخدم استخدام حسابه على أكثر من جهاز.
ويكمن الخطر في أن المهاجمين يستخدمون هذه الميزة نفسها بطريقة احتيالية لربط أجهزتهم بحسابات الضحايا دون إدراكهم لما يحدث.
كيف تبدأ عملية الاحتيال؟
تبدأ عملية الاحتيال برسالة تبدو طبيعية من جهة اتصال موثوقة، مثل:
“مرحبًا، لقد وجدت صورتك للتو”.
وتحتوي الرسالة على رابط يظهر كمعاينة مشابهة لمعاينات فيسبوك داخل واتساب. وعند النقر عليه، يُنقل المستخدم إلى صفحة ويب مزيفة تُحاكي عارض صور فيسبوك، وتطلب منه «التحقق» قبل عرض المحتوى.
خطوة واحدة تمنح المهاجم السيطرة الكاملة
تُفعّل الصفحة المزيفة عملية «الربط الخفي» عبر إجراء ربط الأجهزة الرسمي في واتساب، حيث يُطلب من المستخدم إدخال رقم هاتفه، ليُنشئ واتساب بعدها رمز ربط رقمي.
ثم تطلب الصفحة الاحتيالية من المستخدم إدخال هذا الرمز داخل واتساب، متظاهرةً بأن الأمر مجرد فحص أمني روتيني، بينما في الحقيقة يكون الضحية قد وافق دون علمه على ربط جهاز المهاجم بحسابه.
وبهذه الخطوة، يحصل المخترق على وصول كامل إلى الحساب، بما يشمل الرسائل والمحادثات والوسائط.
خطر يتطلب وعي المستخدمين
ويرى خبراء الأمن السيبراني أن خطورة هذا الهجوم لا تكمن فقط في نتائجه، بل في اعتماده على ميزة رسمية داخل التطبيق، ما يجعله أكثر إقناعًا وأصعب في الاكتشاف، ويؤكدون أن الوعي الرقمي يبقى خط الدفاع الأول أمام مثل هذه الهجمات.
ما هو هجوم GhostPairing؟
هو هجوم احتيالي يستغل ميزة ربط الأجهزة في واتساب للسيطرة على الحسابات دون سرقة كلمات المرور أو رموز التحقق.
هل يعتمد الهجوم على اختراق تقني؟
لا، يعتمد على الهندسة الاجتماعية وخداع المستخدمين بدلًا من استغلال ثغرات تقنية.
كيف يحصل المخترق على التحكم بالحساب؟
من خلال خداع المستخدم لإدخال رمز ربط الأجهزة، ما يسمح بربط جهاز المهاجم بالحساب رسميًا.
هل يشعر المستخدم بحدوث الاختراق؟
في الغالب لا، لأن العملية تتم باستخدام آلية رسمية داخل التطبيق دون تنبيهات واضحة.
كيف يمكن تجنب هذا النوع من الهجمات؟
بعدم النقر على روابط مشبوهة، وعدم إدخال أي رموز تحقق أو ربط أجهزة بناءً على طلبات غير موثوقة.
