كشف خبراء الأمن الرقمي عن تقنية جديدة لاختراق حسابات واتساب أطلق عليها اسم GhostPairing، تمنح المهاجمين وصولا كاملا إلى رسائل المستخدمين وملفاتهم الإعلامية، دون الحاجة لسرقة كلمات المرور أو اختراق شرائح SIM.

وتستغل التقنية ميزة ربط الأجهزة الخاصة بواتساب، والتي تستخدم عادة لتفعيل جلسات الويب وسطح المكتب، بحيث يقوم المهاجم بإضافة متصفحه كجهاز موثوق به بشكل صامت، مما يتيح له الوصول إلى الحساب دون علم الضحية.

حلل هذه الحملة كل من لويس كورونس من GenDigital والباحث في البرمجيات الخبيثة مارتن تشلومكي، الذين لاحظوا نشاط الحملة في أواخر 2025، مستهدفة مستخدمين في جمهورية التشيك، رغم أن الرسائل تبدو محلية، فإن البنية التحتية ونماذج الصفحات المزيفة لا تعتمد على اللغة، ما يجعل التقنية قابلة لإعادة الاستخدام في مناطق أخرى بسهولة.

عادة، يتلقى الضحايا رسالة واتساب قصيرة من جهة اتصال مألوفة تقول شيئا مثل: 'مرحبا، لقد وجدت صورتك!'، متبوعة بمعاينة رابط تحاكي فيسبوك. 

بمجرد الضغط على الرابط، يفتح صفحة مزيفة تحمل شعار فيسبوك وتطلب من المستخدم 'تأكيد هويته' قبل عرض المحتوى المفترض. 

في الواقع، هذه الصفحة تعمل كوسيط للمهاجم، مستغلة ميزة ربط الجهاز عبر رقم الهاتف في واتساب، عند إدخال رقم الهاتف واتباع تعليمات كود الربط، يمنح الضحية المهاجم وصولا دائما إلى حسابه دون علمه.

على عكس تقنيات التصيد التقليدية أو اختطاف الحسابات، لا تتطلب هذه الطريقة سرقة بيانات الدخول أو اعتراض الرسائل، بل تعتمد على إقناع المستخدم بإتمام عملية الربط بنفسه. 

وبمجرد الربط، يظل المتصفح المهاجم نشطا حتى يقوم المستخدم بإزالته يدويا من إعدادات التطبيق.

تشرح GenDigital أن الحملة تفضل رموز الربط الرقمية بدل رموز QR، لأنها تسمح بإتمام الهجوم على جهاز واحد فقط (عادة هاتف الضحية)، مما يجعل الهندسة الاجتماعية أكثر سهولة وفاعلية. 

بينما يمكن تنفيذ الهجمات عبر QR، إلا أنها أقل عملية، إذ سيواجه معظم المستخدمين صعوبة في مسح رمز يظهر على نفس الجهاز الذي يستخدمونه.

بمجرد الربط، يحصل المهاجم على وصول واسع إلى الحساب، بما في ذلك:

- قراءة الرسائل القديمة والحالية

- عرض وتحميل الصور والفيديوهات والملاحظات الصوتية

- انتحال هوية المستخدم في المحادثات

- إعادة إرسال الرسائل إلى جهات الاتصال والمجموعات

وبما أن الجهاز الأصلي يبقى فعالا، يظل العديد من المستخدمين غير مدركين لاختراق حسابهم، كما تنتشر الحملة بشكل أوسع من خلال العلاقات الاجتماعية الحقيقية وليس الرسائل العشوائية، مما يزيد من فعاليتها. 

وتشير GenDigital إلى أن هذا الانتشار 'القائم على الثقة' هو ما يجعل GhostPairing ينمو بشكل سريع، حيث يساهم كل مستخدم مخترَق في توسيع الحملة دون قصد.

كما أشار الباحثون إلى أن GhostPairing قد يعتمد على مجموعة أدوات تصيد Phishing Kit يتم بيعها أو مشاركتها بين المهاجمين، حيث تظهر نفس صفحة فيسبوك المزيفة عبر عدة نطاقات، مع الحفاظ على نفس التخطيطات، ويمكن إعادة نشر هذه الأدوات بسرعة عند إزالة أي نطاق، مما يقلل من وقت توقف الهجوم.

- مراجعة الأجهزة المرتبطة بالحساب من قائمة الإعدادات بانتظام.

- تسجيل الخروج من أي جلسة غير مألوفة.

- التأكد أن ربط الأجهزة يتم فقط من داخل التطبيق وليس عبر روابط أو صفحات تحقق خارجية.