احذر رابط واحد.. هكذا يخدعك المخترقون للوصول إلى واتس آب
المعلومة/متابعة ...
كشف باحثون في مجال الأمن السيبراني عن أسلوب احتيالي جديد يمكّن قراصنة الإنترنت من اختراق حسابات تطبيق "واتس آب" دون الحاجة إلى كسر نظام التشفير، وذلك عبر استغلال ثغرات تتعلق بآلية ربط الأجهزة.
وأوضح باحثو شركة "أفاست" للأمن السيبراني أن هذا النوع من الاحتيال، المعروف باسم GhostPairing، يعتمد على استخدام ميزات شرعية داخل التطبيق لخداع المستخدمين وربط حساباتهم بأجهزة يتحكم فيها المهاجمون، ما يمنحهم وصولًا مباشرًا إلى الرسائل والصور ومقاطع الفيديو والملاحظات الصوتية.
وتبدأ عملية الاحتيال بإرسال رسالة إلى الضحية تبدو وكأنها واردة من جهة اتصال موثوقة، وتتضمن رابطًا يدّعي عادةً عرض صورة. وعند النقر على الرابط، يتم توجيه المستخدم إلى صفحة تسجيل دخول مزيفة لـ"فيسبوك"، تطلب منه إدخال رقم هاتفه.
وبدلًا من عرض المحتوى المزعوم، تقوم الصفحة بتفعيل ميزة "ربط الأجهزة" في "واتس آب"، من خلال إظهار رمز يُطلب من الضحية إدخاله داخل التطبيق، ما يؤدي – دون علمه – إلى ربط جهاز غير معروف بحسابه.
وبهذه الطريقة، يحصل المهاجم على وصول كامل إلى الحساب، دون الحاجة إلى كلمة مرور أو أي بيانات اعتماد أخرى. وبعد السيطرة على الحساب، يمكن للمخترق إرسال رسائل إلى جهات اتصال الضحية، مستغلًا الثقة المتبادلة لنشر الهجوم وتنفيذ عمليات اختراق إضافية على نطاق أوسع.
وقال لويس كورونز، خبير الأمن في شركة "أفاست"، إن هذه الحملة "تعكس تحولًا متزايدًا في الجرائم الإلكترونية، حيث أصبح استغلال ثقة المستخدمين لا يقل أهمية عن اختراق الأنظمة التقنية نفسها".
وأضاف أن المحتالين "يقنعون المستخدمين بمنح الوصول بأنفسهم، من خلال إساءة استخدام أدوات مألوفة مثل رموز الاستجابة السريعة (QR) وطلبات ربط الأجهزة وشاشات التحقق التي تبدو روتينية".
وأشار كورونز إلى أن هذا النوع من الاحتيال "لا يشكل تهديدًا لتطبيق واتس آب وحده، بل يمثل تحذيرًا لجميع المنصات التي تعتمد على ربط الأجهزة بسرعة ومن دون توضيح كافٍ للمستخدمين".
وفي هذا السياق، دعت شركة "أفاست" مستخدمي "واتس آب" إلى التحقق بشكل دوري من الأجهزة المرتبطة بحساباتهم، وذلك عبر الدخول إلى الإعدادات ثم الأجهزة المرتبطة، مع ضرورة إزالة أي جهاز غير معروف فورًا.
وختم كورونز بالتأكيد على أن "تطور أساليب الاحتيال يستدعي إعادة التفكير في آليات المصادقة، بحيث لا تقتصر على ما يفعله المستخدم عن قصد، بل تأخذ في الحسبان أيضًا ما يمكن خداعه للقيام به، خاصة عندما تتحول الثقة التلقائية بالأجهزة إلى نقطة ضعف قابلة للاستغلال".انتهى/25
