تعرف على آلية عمل هجوم GhostPairing للاستيلاء على حسابات "واتساب"

حذرت مجموعة من الباحثين الأمنيين من تزايد الاستيلاء على حسابات مستخدمي "واتساب" من خلال أسلوب يعتمد على ثغرة في طريقة عمل ربط الأجهزة بحساب واحد.

وبحسب الباحثين في شركة Gen Digital، فقد تم رصد هذا الهجوم، والذي أُطلق عليه اسم GhostPairing، لأول مرة، ضد مستخدمين في جمهورية التشيك، إلا أنهم أكدوا أن المخترقين يستخدمون حسابات الضحايا لنشر روابط خبيثة تسمح بتوسيع نطاق الهجوم إلى مناطق جغرافية أخرى حول العالم.

كيف يعمل هجوم GhostPairing؟

يبدأ الهجوم، من خلال استقبال الضحية رسالة من أحد جهات الاتصال المسجلة لديهم على "واتساب"، تتضمن محتوى نصياً يخبر الضحية بوجود صورة لهم على أحد مواقع الإنترنت، مع إضافة رابط خبيث لتشجيعهم على الضغط لفتح الرابط.

عند الضغط على الرابط، يتم تحويل الضحية إلى صفحة ويب مصممة لتشبه صفحة تسجيل الدخول الخاصة بفيسبوك، حيث تطلب من المستخدم إدخال رقم هاتفه مع كود الدولة الخاص به، حيث يستخدم المخترق رقم الضحية لتسجيل الدخول بطريقة الكود العشوائي عبر الويب على حاسوب المخترق، ليتمكن من ربط حاسوبه بحساب الضحية.

ينتقل الموقع المزيف بالضحية إلى نافذة جديدة تحمل الكود العشوائي والذي سيحتاج إلى إدخاله إلى نافذة "واتساب"، والتي سيتجه إليها من خلال إشعار يصل هاتفه من جراء محاولة المخترق تسجيل حاسوبه على حساب الضحية، وإذا لم ينتبه لذلك، وقام بإدخال الكود العشوائي، فإن المخترق سيتمكن من النفاذ إلى حسابه والاطلاع على جميع محادثاته، بل وسيمكنه إرسال رسائل كذلك من خلاله.

ربط الأجهزة بحسابات "واتساب"

حذر الباحثون الأمنيون، من أن الكثير من الضحايا لا يكونوا على دراية بأن جهاز آخر قد أضيف إلى حساباتهم، حيث أن ميزة الحسابات الثانوية Companion Devices تتيح إضافة حتى 4 حواسيب وهاتف واحد، وذلك إما من خلال مسح رمز الاستجابة السريعة QR Code أو عبر الكود الرمزي العشوائي المصاحب لإدخال رقم هاتف المستخدم.

ويمكن معرفة الأجهزة المتصلة بأي من حسابات "واتساب"، من خلال التوجه إلى الإعدادات Settings واختيار الأجهزة المتصلة Linked Devices، ومن هناك سيتمكن المستخدم من الاطلاع على جميع الأجهزة المتصلة بحسابه، والتي بإمكانها تبادل الرسائل عبر المحادثات الموجودة حالياً وكذلك تخزين الصور والفيديوهات والملفات المتبادلة داخل المحادثات.

موقع BleepingComputer، كان قد أشار في وقت سابق، إلى أن قراصنة روس، استخدموا نفس الأسلوب الاحتيالي للاستيلاء على حسابات مستخدمي خدمة التراسل الفوري "سيجنال".