كشف باحثون في مجال الأمن السيبراني عن أسلوب احتيالي جديد يمكّن قراصنة الإنترنت من اختراق حسابات واتس آب دون الحاجة إلى كسر التشفير، وذلك عبر استغلال ثغرات تتعلق بآلية ربط الأجهزة داخل التطبيق.

وأوضح باحثو شركة أفاست للأمن السيبراني أن هذا الأسلوب، المعروف باسم GhostPairing، يعتمد على استغلال ميزات شرعية في واتس آب لخداع المستخدمين وربط حساباتهم بأجهزة يتحكم بها المهاجمون، ما يمنحهم وصولاً مباشراً إلى الرسائل والصور ومقاطع الفيديو والملاحظات الصوتية.

وتبدأ عملية الاحتيال بإرسال رسالة إلى الضحية تبدو وكأنها من جهة اتصال موثوقة، وتتضمن رابطاً يدّعي عرض صورة أو محتوى معين. وعند النقر على الرابط، يتم توجيه المستخدم إلى صفحة تسجيل دخول مزيفة على فيسبوك تطلب إدخال رقم الهاتف.

وبدلاً من عرض المحتوى، تقوم الصفحة بتفعيل ميزة ربط الأجهزة في واتس آب، عبر إظهار رمز يُطلب من الضحية إدخاله داخل التطبيق، ما يؤدي دون علمه إلى ربط جهاز غير معروف بحسابه، ومنح المهاجم سيطرة كاملة عليه دون الحاجة إلى كلمة مرور أو بيانات اعتماد.

وبعد اختراق الحساب، يتمكن القراصنة من إرسال رسائل إلى جهات اتصال الضحية، مستغلين الثقة المتبادلة لنشر الهجوم وتنفيذ عمليات اختراق إضافية على نطاق أوسع.

وقال لويس كورونز، خبير الأمن في “أفاست”، إن هذه الحملة تعكس تحولاً متزايداً في الجرائم الإلكترونية، حيث أصبح استغلال ثقة المستخدمين لا يقل خطورة عن اختراق الأنظمة التقنية نفسها. وأضاف أن المحتالين يقنعون المستخدمين بمنح الوصول بأنفسهم من خلال إساءة استخدام أدوات مألوفة مثل رموز الاستجابة السريعة وطلبات ربط الأجهزة.

وأشار إلى أن هذا النوع من الاحتيال لا يقتصر على واتس آب فقط، بل يشكل تحذيراً لجميع المنصات التي تعتمد على ربط الأجهزة بسرعة ومن دون توضيح كافٍ للمستخدمين.

ودعت “أفاست” مستخدمي واتس آب إلى التحقق بشكل دوري من الأجهزة المرتبطة بحساباتهم عبر الإعدادات، وإزالة أي جهاز غير معروف فوراً، مؤكدة أن تطور أساليب الاحتيال يتطلب وعياً أكبر وإجراءات مصادقة أكثر أماناً لحماية الحسابات الرقمية.