“هاك” WhatsApp الجديد لا يستغرق سوى دقائق
اكتشفت إحدى شركات الحماية من المخاطر الرقمية ثغرة أمنية جديدة على Whatsapp يمكن للجهات الخبيثة استغلالها للسيطرة على أي حساب Whatsapp؛ وتتطلب العملية استخدام الهندسة الاجتماعية -بما في ذلك الاتصال بالضحية- والتأكد من أن مستخدم Whatsapp العادي ليس على دراية برموز MMI.
الهجوم الجديد يجيب عن سؤال: لماذا يحتاج مستخدمو واتساب إلى أخذ الأمن على محمل الجد، في أعقاب تهديد سابق من قراصنة روس؟
ما مدى خطورة هذا الهجوم؟
تم تسهيل هذا الاختراق، الذي اكتشفه راهول ساسي؛ الرئيس التنفيذي لشركة CloudSEK، من خلال حقيقتين تقنيتين.
أولًا: الخدمة المؤتمتة التي يقدمها العديد من شركات الهواتف المحمولة وتتيح لك إعادة توجيه المكالمات الهاتفية إلى رقم مختلف، ثانيًا: يتيح Whatsapp للمستخدمين إرسال رمز التحقق من البريد الصوتي لمرة واحدة.
ووفقًا لـ “ساسي” فإنه في غضون بضع دقائق من بدء العملية سيتم تسجيل خروج WhatsApp الخاص بك، وسيحصل المهاجمون على التحكم الكامل في حسابك.
وسيحتاج المهاجم إلى رقم هاتف الهدف وبعض مهارات الهندسة الاجتماعية المهمة حتى يعمل.
كيف يعمل المهاجم؟
يجب على المهاجم أولًا إقناع الضحية بالاتصال برقم يبدأ برمز واجهة الإنسان والآلة (MMI). غالبًا ما تبدأ هذه الرموز بـ “#” أو “*”.
عندما يطلب الضحية الرقم سيحدد رمز MMI أن يقوم مشغل شبكة الجوال بإعادة توجيه جميع المكالمات إلى رقم المتسلل. ومع ذلك يجب أن يتأكد المخترق من استخدام رمز MMI الذي يعيد توجيه كل مكالمة تلقائيًا، وليس فقط عندما يكون الخط مشغولًا.
وهناك عدة أنواع مختلفة من رموز MMI ولكن غالبًا ما تستخدمها شركات الهاتف لتسهيل فحص العملاء لرصيدهم أو إعادة ضبط الجهاز أو إعادة توجيه المكالمات.
الآن وقد تم خداع الضحية لإعادة توجيه المكالمات إلى رقم المتسلل، يبدأ الأخير عملية التسجيل، والتي تتضمن خيار “كلمة مرور لمرة واحدة عبر مكالمة صوتية”.
باستخدام هذا الرمز يمكنه بعد ذلك إعداد حساب واتساب للهدف على أجهازه. ومن المحتمل أن تتلقى الضحية إشعارًا عبر WhatsApp يبلغه بأنه قد تم تسجيل الدخول على جهاز آخر، ولكن يمكن التغاضي عن هذا بسهولة إذا اتصل المتسلل بالضحية ودخل في محادثة معها.
كيف يمكنني تجنب اختراق WhatsApp؟
هناك طريقة واحدة سهلة لضمان عدم حدوث ذلك لك مطلقًا وهي تشغيل المصادقة الثنائية (2FA) في واتساب. فلن يحتاج المخترق في هذه الحالة إلى رقم هاتفك فحسب، بل أيضًا إلى رقم تعريف شخصي للأمان.
ومن المهم دائمًا استخدام التكنولوجيا التي يمكن أن تقلل من فرص تعرضك للاختراق، مثل مديري كلمات المرور وشبكات VPN. وهناك الكثير من الأشخاص الذين لديهم حسابات بالخدمات التي توفر المصادقة الثنائية (2FA) ولكنهم لا يقومون بتنشيطها.
