اختراق صامت في واتساب: القراصنة يستغلون ميزة رسمية للسيطرة الكاملة على الحسابات
كتب باهر رجب
في تطور مثير للقلق ضمن عالم الأمن السيبراني، كشف خبراء عن هجوم إلكتروني جديد شديد التمويه و الخبث، يتم من خلاله اختراق حسابات واتساب بشكل كامل دون أن يلحظ الضحايا أي نشاط مريب، ودون سرقة كلمات المرور أو حتى استغلال ثغرات تقنية تقليدية.
هجوم “الاقتران الشبح”: خداع ذكي يستهدف الثقة البشرية
يعرف هذا الهجوم باسم “GhostPairing” أو “الاقتران الشبح“، وهو لا يعتمد على تقنيات متقدمة معقدة، بل على استغلال ذكي لعلم النفس البشري وميزة موجودة أصلا في التطبيق. الفكرة الجوهرية تكمن في خداع المستخدمين للموافقة طوعيا – وان كان عن غير علم – على ربط جهاز المهاجم بحسابهم الخاص على واتساب، من خلال استغلال آلية “ربط الأجهزة” الشرعية في التطبيق.
آلية الهجوم: مسرحية إلكترونية من عدة فصول
تبدأ العملية برسالة واتساب تبدو عادية وتأتي غالبا من جهة اتصال معروفة أو موثوقة (مثل صديق أو قريب قد يكون حسابه مخترقا أيضا). تحتوي الرسالة على نص مغرى مثل: “مرحبا، لقد وجدت صورتك للتو” أو أي عبارة تثير الفضول.
الطعم
يتضمن الرسالة رابطا. بفضل خاصية “معاينة الرابط” في واتساب، يظهر للمستخدم معاينة مصغرة للصفحة تبدو مشروعة تماما، وتشبه إلى حد كبير معاينة منصة مثل فيسبوك، مما يزيد ثقة الضحية.
الفخ
عند النقر على الرابط، ينقل المستخدم إلى موقع ويب مزيف مصمم بمهارة عالية لمحاكاة واجهة “عارض الصور” الخاص بفيسبوك أو أي منصة أخرى. تظهر له صفحة تطلب إجراء “تحقق” بسيط قبل السماح له بمشاهدة المحتوى المزعوم.
الخدعة الرئيسية
هنا، يبدأ استغلال ميزة واتساب الرسمية. تطلب الصفحة المزيفة من المستخدم إدخال رقم هاتفه (المستخدم في واتساب). بمجرد إدخاله، يبدأ واتساب التطبيق الرسمي على هاتف الضحية في توليد رمز ربط مكون من 6 أرقام خاص بعملية ربط جهاز جديد.
الضربة القاضية
تظهر على الصفحة المزيفة تعليمات تطالب المستخدم بإدخال هذا الرمز الذي تلقاه للتو في التطبيق، مدعية أن ذلك مجرد “خطوة تحقق أمني روتينية” لتأكيد هويته. بمجرد أن يقوم الضحية بإدخال الرمز في الموقع المزيف، يكون قد سلم – دون أن يدري – مفتاح الدخول إلى حسابه للمهاجم.
النتيجة: وصول كامل وسيطرة تامة
بعد هذه الخطوات، يصبح جهاز المهاجم مرتبطا رسميا بحساب واتساب الضحية، كأي جهاز آخر (مثل جهاز كمبيوتر مكتبي). كما يمنح هذا الارتباط المهاجم صلاحيات كاملة للوصول إلى جميع المحادثات (حتى المشفرة)، وإرسال واستقبال الرسائل، والاطلاع على الوسائط، والمجموعات – كل ذلك في صمت تام، وغالبا مع بقاء جلسة المستخدم الأصلية على هاتفه تعمل بشكل طبيعي دون أن تشعر بوجود دخيل.
لماذا يعتبر هذا الهجوم خطيرا بشكل خاص؟
لا يحتاج إلى ثغرات
علاوة على ذلك لا يستغل نقطة ضعف في كود واتساب، بل يستغل ثغرة دائمة في أي نظام. العنصر البشري وسهولة خداعه (الهندسة الاجتماعية).
غير مرئي
حيث لا يتطلب سرقة كلمة المرور أو بطاقة SIM (تبديل الشريحة)، ولا يظهر أي رسائل تحذيرية غير معتادة للمستخدم.
صعب الاكتشاف
كما يمكن للمهاجم مراقبة الحساب لفترات طويلة دون أن يدري صاحبه، ما يجعله أداة مثالية للتجسس أو انتحال الشخصية.
يستغل ثقة المستخدم
يستفيد من ثقة المستخدم في جهات الاتصال المعروفة و الميزات المعتادة للتطبيق (كمعاينة الروابط).
كيف تحمي نفسك من “الاقتران الشبح”؟
كما يؤكد خبراء الأمن على ضرورة اليقظة واتباع ممارسات آمنة:
التشكك الدائم
لا تنقر على روابط من جهات غير موثوقة، حتى لو بدت من أصدقائك. تواصل مع صديقك عبر قناة أخرى للتأكد من أنه هو من أرسلها.
الحذر من طلبات “التحقق”
علاوة على ذلك لا تقم أبداً بإدخال رموز التحقق (مثل الرمز المكون من 6 أرقام) التي يولدها تطبيق واتساب على أي موقع ويب خارجي. هذه الرموز للاستخدام داخل التطبيق فقط لربط الأجهزة.
مراجعة الأجهزة المرتبطة
انتقل دوريا إلى إعدادات واتساب » الأجهزة المرتبطة. افحص القائمة وتعرف على كل جهاز مرتبط. إذا وجدت جهازا غير معروف، قم بفصله فورا.
تفعيل المصادقة ذات العاملين
كذلك قم بتمكين خاصية “المصادقة بخطوتين” في إعدادات واتساب. كما سيضيف هذا طبقة حماية إضافية، حيث سيطلب منك التطبيق كلمة سر PIN خاصة عند محاولة ربط أي جهاز جديد، حتى لو تم اختراق رمز الربط.
رد واتساب والتحدي المستمر
علاوة على ذلك يظل التحدي الأكبر في مثل هذه الهجمات هو أنها لا تستغل عيبا تقنيا يمكن للتطبيق إصلاحه ببساطة، بل تعتمد على التلاعب بالمستخدم. ومع ذلك، فإن وعي المستخدمين و تثقيفهم يعدان الخط الدفاعي الأول والأقوى.
في معركة الأمن السيبراني، يبدو أن الخطر الأكبر لا يكمن دائما في الشفرات المعقدة، بل في النقرات الطائشة التي نقدمها بثقة عمياء. الوعي والحذر هما، ولا يزالان، أقوى حاجز ضد أصحاب النوايا الخبيثة في العالم الرقمي.