أصدرت وكالة الأمن السيبراني والبنية التحتية الأميركية CISA بالتعاون مع مكتب التحقيقات الفيدرالي FBI تحذيراً من حملة تصيّد إلكتروني واسعة يقودها مهاجمون مرتبطون بأجهزة الاستخبارات الروسية. تستهدف هذه الحملة تطبيقات المراسلة التجارية الآمنة مثل Signal وWhatsApp، بهدف السيطرة على حسابات شخصيات ذات قيمة استخباراتية عالية، من بينهم مسؤولون حكوميون أميركيون حاليون وسابقون، عسكريون، سياسيون وصحفيون.
بحسب مدير الـ FBI، فإن الحملة أدت بالفعل إلى اختراق آلاف الحسابات حول العالم، مما أتاح للمهاجمين الاطلاع على الرسائل وقوائم الاتصال، وإرسال رسائل باسم الضحايا، وتنفيذ هجمات تصيّد إضافية من داخل هوية موثوقة.
أسلوب التصيّد وآليات الاختراق
الهجمات لا تستغل ثغرات في التشفير أو ضعفاً تقنياً في التطبيقات نفسها، بل تعتمد على الهندسة الاجتماعية. يقوم المهاجمون بإرسال رسائل عاجلة توهم الضحية بوجود نشاط مشبوه أو محاولات دخول غير معروفة، ويطلبون منه إدخال رمز التحقق أو الضغط على رابط مشبوه.
هناك سيناريوهان رئيسيان:
- إذا أدخل الضحية رمز التحقق أو الـ PIN، يفقد السيطرة على حسابه، ويصبح المهاجم قادراً على استقبال الرسائل الجديدة وإرسال رسائل باسم الضحية.
- إذا ضغط الضحية على الرابط أو مسح رمز QR، يتم ربط جهاز المهاجم بحساب الضحية، مما يمنحه وصولاً كاملاً إلى الرسائل القديمة والجديدة، بينما يظل الضحية قادراً على استخدام حسابه ما لم يتم استبعاده يدوياً من الإعدادات.
ارتباط الحملة بمجموعات تهديد روسية
رغم أن التحذير لم يحدد مجموعة بعينها، إلا أن تقارير سابقة من Microsoft وGoogle Threat Intelligence Group ربطت هذه الأنشطة بمجموعات روسية مثل Star Blizzard وUNC5792 (UAC-0195) وUNC4221 (UAC-0185). كما أصدرت وكالة الأمن السيبراني الفرنسية ANSSI عبر مركز التنسيق للأزمات السيبرانية C4 تحذيراً مماثلاً، مؤكدة أن الهجمات تستهدف حسابات مسؤولين حكوميين وصحفيين وقادة أعمال في أوروبا أيضاً.
توصيات الحماية للمستخدمين
الوكالات الأمنية شددت على ضرورة اتباع إجراءات وقائية صارمة، منها:
- عدم مشاركة رمز التحقق أو الـ PIN مع أي جهة.
- الحذر من الرسائل غير المتوقعة أو من جهات مجهولة.
- التحقق من الروابط قبل الضغط عليها.
- مراجعة الأجهزة المرتبطة بالحساب بشكل دوري وحذف أي جهاز مشبوه.
من جانبها، أكدت منصة Signal أن رمز التحقق عبر SMS مطلوب فقط عند التسجيل لأول مرة، وأن فريق الدعم لن يتواصل أبداً عبر التطبيق أو الرسائل النصية لطلب أي رمز. أي طلب من هذا النوع هو محاولة احتيال.
