كشفت منصة ANY.RUN المتخصصة في تحليل التهديدات عن ظهور أداة تصيّد جديدة تحمل اسم Salty2FA، تم تطويرها ضمن ما يُعرف بخدمات التصيّد كخدمة (Phishing-as-a-Service). وتكمن خطورتها في قدرتها على تجاوز أنظمة المصادقة الثنائية (2FA) بمختلف أشكالها، بما في ذلك رموز الرسائل القصيرة والمكالمات الصوتية وإشعارات الدفع، ما يجعلها من أخطر أدوات التصيّد التي برزت خلال عام 2025.
استهداف واسع لقطاعات حيوية
أظهرت التحليلات أن هجمات Salty2FA انتشرت منذ منتصف عام 2025، واستهدفت بشكل خاص المؤسسات في الولايات المتحدة والاتحاد الأوروبي، مع تركيز على قطاعات المال، الطاقة، الصحة، الاتصالات، التصنيع، والخدمات الحكومية والتعليمية. كما رُصدت نشاطات في مناطق أخرى مثل كندا والهند وأميركا اللاتينية.
كيف يعمل Salty2FA؟
يتّبع الهجوم سلسلة متعددة المراحل تبدأ برسائل بريد إلكتروني تحمل عناوين جذّابة مثل “تصحيح دفعة مالية 2025”. عند نقر الموظف على الرابط، يُحوّل إلى صفحة تسجيل دخول مزيّفة تحمل شعار مايكروسوفت ومحمية عبر خدمات Cloudflare لتفادي اكتشافها.
بعد إدخال بيانات الاعتماد، تُرسل المعلومات إلى خوادم المهاجمين، وإذا كان الحساب محميًا بالمصادقة الثنائية، تطلب الصفحة رموز التحقق وتقوم باعتراضها في الوقت الحقيقي، ما يتيح للمهاجمين السيطرة الكاملة على الحساب.
ما الذي ينبغي على المؤسسات فعله؟
يحذر الخبراء من أن الاعتماد على مؤشرات التهديد الثابتة مثل النطاقات أو التواقيع لم يعد كافيًا، إذ تتغير يوميًا. ويوصون بعدة خطوات لتقليل المخاطر:
-
التركيز على رصد السلوكيات المتكررة في صفحات التصيّد بدلًا من ملاحقة المؤشرات المتغيرة.
-
استخدام بيئات التحليل التفاعلي (Sandboxes) للكشف عن السلاسل الكاملة للهجوم.
-
تعزيز سياسات المصادقة المتعددة العوامل بالاعتماد على تطبيقات أو مفاتيح مادية بدل الرسائل القصيرة.
-
تدريب الموظفين على التعرّف إلى الحيل المالية المتكررة مثل “تصحيح الدفعات” أو “الفواتير المعلّقة”.
-
دمج نتائج التحليل في أنظمة المراقبة (SIEM/SOAR) لتسريع الاستجابة.
إن التطور السريع لأدوات مثل Salty2FA يعكس تصاعد سباق التهديدات السيبرانية، ما يجعل وعي الموظفين وسرعة الاستجابة والتحليل التفاعلي عناصر أساسية لحماية المؤسسات من الاختراق.
