يُعد واتس آب أحد تطبيقات المراسلة المشفرة الأكثر شعبية على مستوى العالم، حيث يوجد أكثر من 2 مليار مستخدم لهذا التطبيق المملوك لشركة فيسبوك، ونظرًا لتلك الشعبية الطاغية، تستهدف جهات خبيثة استخدام واتس آب لنشر معلومات خاطئة، كما يسعى المحتالون إلئ قرصنة حسابات المستخدمين، وفي سبيل تحقيق ذلك يلجؤون إلى خداع المستخدمين من أجل الوصول إلى رمز التحقق المكون من ستة أرقام، وهو في الأساس كلمة مرور لمرة واحدة يتم استخدامها لتسجيل الدخول إلى حساب واتس آب، ومن ثم يتمكنون من اختراق الحساب ومساومة صاحبه الأصلي أو تهديد خصوصيته واتصالاته بالآخرين.
المتسللون والاحتيال لسرقة رموز مصادقة الرسائل القصيرة
وتشير مجلة فوربس الأمريكية إلى أن الاختراق هو عبارة عن سرقة رموز مصادقة الرسائل القصيرة، مما يُمكن المتسللين أو الهاكرز من سرقة الحسابات ثم استخدامها لاستهداف جهات اتصال الضحية بطلبات للحصول على أموال أو مرفقات بها برامج ضارة.
ومن المعلوم أن حساب واتس آب الخاص بالشخص يكون مرتبطا برقم هاتفه، لذلك عند تثبيت التطبيق على هاتف جديد، لا يعرف التطبيق رقم الهاتف الذي تم تثبيته عليه، وبدلاً من ذلك يطلب رقم الهاتف ثم يرسل عليه رمزًا.
يعني ذلك أنه يمكن ربط الواتس آب برقم مختلف عن الهاتف المثبت عليه، وينتج عن هذا ثغرة أمنية كان المهاجمون يستغلونها حول العالم لأكثر من عام.
وقد يحصل المتسلل على رقمك من حساب مخترق لأحد أصدقائك، ثم يقوم بتثبيت تطبيق واتس آب على جهاز وإدخال الرقم في حساب واتس آب ثم يرسل لك التطبيق رمز “إس إم إس- SMS”. ويقوم المهاجم بإرسال رسائل إليك على الرسائل القصيرة أو فيسبوك، متظاهرًا بأنه صديقك مدعيًا أنه أغلق هاتفه.
ويدعى أنه طلب من الشبكة إرسال رمز إلغاء القفل إليك عبر رسالة نصية، ويطلب إعادة توجيهها إليه، وهذا الرمز يكون رمز مصادقة واتس آب لحسابك، لذا بمجرد أن ترسل الرمز للمتسلل، يقوم بقرصنة حسابك على الفور.
ولن يكون لدى المتسلل سجل الرسائل الخاص بك، لكنه سيتلقى رسائلك الجديدة ويرى المجموعات التي تنتمي إليها، وفي ظل وجود حسابك تحت سيطرته، يمكن للمتسلل إرسال رسائل إلى جهات الاتصال الخاصة بك.
ويقوم المتسللون بإعداد أرقام التعريف الشخصية في الحسابات المخترقة لزيادة صعوبة استرداد الحسابات المسروقة. لذلك عند إعادة تثبيت التطبيق، ستتم مطالبتك برقم PIN لا يتوفر لديك. وأصبح واتس آب يتحلى بالحكمة في معالجة هذا الأمر، فبمجرد إدخال رمز SMS، فإنه يغلق الحساب بالنسبة للمتسلل، لكن لا يزال يتعين على صاحب الحساب الانتظار سبعة أيام لاستعادته مرة أخرى.
أساليب وتقنيات اختراق الحسابات على تطبيق واتس آب
ووفقًا لشركة ” intellipaat” المتخصصة في التكنولوجية الرقمية هناك طرق أو تقنيات متعددة يحاول فيها المتسللون عادة الوصول غير المصرح به إلى حسابات مستخدمي واتس آب، أبرزها:
“الهندسة الاجتماعية- Social engineering”
وتعني هذه الطريقة اختراق حساب المستخدم بدون اختراق هاتفه، حيث يحاول المخترق التلاعب بالمستخدم للكشف عن معلومات مهمة، مما قد يؤدي إلى اختراق حسابه، فعلى سبيل المثال عند إعداد حساب “جي ميل – Gmail” الخاص بك، يكون لديك خيار لإعداد سؤال أمان مثل “ما هو اسم الحيوان الأليف المفضل لديك؟”، وإذا نسيت كلمة المرور تطرح جوجل هذا السؤال لتعرف حقًّا ما إذا كان صاحب الحساب الحقيقي يحاول استعادته.
وهنا يُثار تساؤل ألا وهو: ماذا لو حاول شخص ما أن يصبح صديقا لك وسأل بشكل عابر عن الحيوان المفضل لديك، فلن تشك أبدًا في قدرة أي شخص على اختراق حسابك بمجرد إخباره باسم حيوانك الأليف المفضل. ولكن ذلك يجسد بالضبط كيف يمكن استخدام مثل هذه الأشياء البسيطة لاختراق حسابك، وتسمى هذه الطرق بأساليب الهندسة الاجتماعية للقرصنة.
أي أنه في هذه الحالة يحاول المتسلل التفاعل معك اجتماعيًّا والحصول على معلومات منك، يمكن استخدامها لمهاجمة حساباتك على وسائل التواصل الاجتماعي.
ومن بين الأمثلة الأخرى على اختراق شبكات التواصل الاجتماعي، تلقِّي رسائل مشبوهة تخبرك أنك ربحت “يانصيب” وتعطيك روابط للنقر عليها للحصول على مكافأتك، فبمجرد النقر فوق هذه الروابط ، تؤدي إلى مواقع الويب التي يمكنها سرقة المعلومات الشخصية، بما في ذلك رسائل واتس آب من هاتفك دون علمك.
استخدام “واتس آب ويب -whatsapp web”
“واتس آب ويب -whatsapp web” هو خاصية تسمح لك بتسجيل الدخول على أي متصفح دون أي تسجيل دخول أو كلمة مرور، تتطلب فقط مسحًا سريعًا لرمز QR من حسابك على واتس آب، وهى إحدى أسهل الطرق لاختراق رسائل واتس آب.
ومن خلالها يقوم المتسلل بفتح موقع whatsapp web وفتح التطبيق من هاتف الضحية ويقوم بمسح الرمز الموجود على الشاشة باستخدام الهاتف المستهدف، وفيما يلي بعض السيناريوهات لاستخدام تلك الطريقة:
– أن يطلب شخص ما هاتفك لإجراء مكالمة سريعة، ويستخدمه دون أن تنتبه لفتح واتس آب على المتصفح، فالأمر يستغرق ثواني.
– أن يقوم المستخدم بتسجيل الدخول إلى حساب واتساب من لاب توب صديقه، وينسى أن يقوم بتسجيل الخروج، ففي هذه الحالة يمكن لصديقك الوصول إلى حسابك دون استخدام هاتفك.
استخدام Google Drive Backups
يمثل Google Drive أداة قوية يمكن استخدامها لاختراق رسائل واتس آب، فقد يستخدمه كل شخص من أجل تخزين ومزامنة النسخة الاحتياطية للدردشة.
وفي تلك الحالة يقوم المتسلل بتنزيل ملف النسخ الاحتياطي للدردشة وإرساله بالبريد إلى صندوق الوارد الخاص به، وبعد ذلك سيقوم المخترق بتثبيت واتس آب على جهازه وإدخال رقمك فيه للتحقق.
وبمجرد الانتهاء من ذلك، يمكنه ببساطة استخدام ملف النسخ الاحتياطي في Google Drive الذي تم تنزيله مسبقًا لاستعادة جميع رسائلك على هاتفه.
وعلى هذا النحو، لا يمكن للمتسلل فقط استخدام حساب واتس آب الخاص بك، ولكنه سيكون قادرًا أيضًا على قراءة جميع رسائلك الشخصية.
اختراق حسابات واتس آب باستخدام انتحال MAC
على عكس عناوين “الآي بي- IP”، التي يمكن أن تكون ديناميكية بطبيعتها، فإن كل جهاز MAC متصل بشبكة له عنوان MAC فريد، يتم استخدامه من قبل التطبيقات لأغراض التفويض.
وإذا تمكن المتسلل من معرفة عنوان MAC الخاص بجهازك، فسيكون قادرًا على انتحال جهاز (أي يحاكي خصائص جهاز) كما لو كان هاتفك متصلًا بالإنترنت.
تطبيقات لقرصنة حسابات واتس آب
ووفقًا لموقع “meterpreter” المتخصص في التكنولوجيا، هناك تطبيقات في السوق تجعل القرصنة أسهل ما يمكن فعله، لذلك فإن المستخدم بحاجة إلى معرفتها لتجنب المشكلات، ومن أبرزها: تطبيق “Spyier ” وهو أحد تطبيقات القرصنة التي جعلت الاختراق سهلاً، ويستخدمه ملايين البشر في أكثر من 190 دولة، وتطبيق “Minspy WhatsApp Hacker”، الذى تسبب في إحداث فوضى في الهواتف التي تم إصدارها مؤخرًا، حيث كانت تتمتع بأمان شديد ولكن عندما تم استخدام Minspy عليها كل شيء خرج عن السيطرة.
إرشادات لتأمين حساب واتس آب من الاختراق
لحماية حساب واتس آب من عمليات الاحتيال والاختراق، هناك مجموعة من الإجراءات والإرشادات التي يجب على المستخدمين اتباعها وهي كالتالي:
- الاحتفاظ بكلمات مرور قوية وعدم إعادة استخدام كلمات المرور القديمة.
- لا تشارك كلمات المرور أو المعلومات المصرفية الخاصة بك مع أي شخص.
- عدم الضغط على الروابط المشبوهة أو الروابط المرسلة من قبل الغرباء.
- لا تشارك هاتفك الذكي مع شخص لا تثق به، وأيضا لا تترك جهاز الكمبيوتر أو الهاتف الخاص بك دون رقابة عندما يستخدمه شخص ما.
- التأكد من تسجيل الخروج من جميع حساباتك بعد الانتهاء من عملك، إذا كنت تستخدم أي جهاز مشترك.
- استخدام أسلوب التحقق المكون من خطوتين كلما كان ذلك ممكنًا.
- تحقق من أذونات التطبيقات قبل تثبيت أي تطبيق على هاتفك.
- أغلق جميع تطبيقات الوسائط الاجتماعية الخاصة بك باستخدام “خزانة التطبيقات- app locker”.