كشف باحثون في مجال الأمن السيبراني عن أسلوب احتيالي جديد وخطير يمكّن قراصنة الإنترنت من السيطرة على حسابات تطبيق “واتس آب” دون الحاجة إلى كسر نظام التشفير أو سرقة كلمات المرور، وذلك عبر استغلال طريقة عمل ميزة “ربط الأجهزة”.
وأوضح خبراء شركة “أفاست” المتخصصة في الأمن السيبراني أن هذا الأسلوب، الذي أطلق عليه اسم GhostPairing، يعتمد على استغلال خصائص شرعية داخل التطبيق لخداع المستخدمين، ودفعهم – دون وعي – إلى ربط حساباتهم بجهاز يتحكم فيه المهاجم، ما يمنحه وصولاً كاملاً إلى الرسائل والمكالمات والوسائط الصوتية والمرئية.
وتبدأ عملية الاحتيال عادة بإرسال رسالة إلى الضحية تبدو وكأنها صادرة عن جهة موثوقة أو صديق، وتتضمن رابطاً يُفترض أنه لعرض صورة أو محتوى جذاب. غير أن النقر على الرابط يقود المستخدم إلى صفحة تسجيل دخول مزيفة تحاكي واجهة “فيسبوك”، حيث يُطلب منه إدخال رقم هاتفه.
وبدل عرض المحتوى المزعوم، تقوم الصفحة الاحتيالية بتفعيل آلية “ربط الأجهزة” في “واتس آب”، من خلال إظهار رمز يُطلب من المستخدم إدخاله داخل التطبيق، وهو ما يؤدي عملياً إلى ربط حسابه بجهاز غير معروف دون إدراكه للعواقب.
وبمجرد نجاح العملية، يحصل المخترق على صلاحيات كاملة لإدارة الحساب، بما في ذلك قراءة الرسائل وإرسالها إلى جهات اتصال الضحية، مستغلاً عامل الثقة لنشر الهجوم وتوسيع نطاقه عبر استهداف مستخدمين آخرين.
وفي هذا السياق، أكد لويس كورونز، خبير الأمن السيبراني في شركة “أفاست”، أن هذا النوع من الهجمات يعكس تحولاً مقلقاً في طبيعة الجرائم الرقمية، حيث لم يعد الاختراق التقني هو الوسيلة الأساسية، بل أصبح استغلال ثقة المستخدمين وسلوكهم اليومي هو المدخل الأخطر.
وأضاف أن المحتالين باتوا يعتمدون على أدوات مألوفة مثل رموز الاستجابة السريعة وطلبات ربط الأجهزة وشاشات التحقق التي تبدو روتينية، لإقناع المستخدمين بمنحهم الوصول بأنفسهم.
وأشار كورونز إلى أن هذه الظاهرة لا تخص “واتس آب” وحده، بل تشكل إنذاراً لجميع المنصات الرقمية التي تعتمد آليات ربط سريعة للأجهزة دون توعية كافية بالمخاطر المحتملة.
ودعت شركة “أفاست” مستخدمي “واتس آب” إلى توخي الحذر، ومراجعة قائمة الأجهزة المرتبطة بحساباتهم بشكل دوري عبر الإعدادات، مع حذف أي جهاز غير معروف فوراً، تفادياً لأي اختراق محتمل.
وختم كورونز بالتأكيد على أن تطور أساليب الاحتيال الرقمي يفرض إعادة النظر في أنظمة المصادقة والحماية، بحيث لا تركز فقط على نوايا المستخدم، بل تأخذ بعين الاعتبار إمكانية خداعه ودفعه لاتخاذ قرارات قد تعرض أمنه الرقمي للخطر.
