أصدرت كل من المكتب الاتحادي لحماية الدستور (BfV) والمكتب الاتحادي لأمن المعلومات (BSI) في ألمانيا تحذيراً مشتركاً بشأن حملة تصيّد إلكتروني خبيثة يُعتقد أنها مدعومة من دولة، تستهدف شخصيات بارزة في السياسة والجيش والدبلوماسية، إضافة إلى صحفيين استقصائيين في ألمانيا وأوروبا.
التحذير يوضح أن الهجمات لا تعتمد على نشر برمجيات خبيثة أو استغلال ثغرات في تطبيق Signal المعروف بتركيزه على الخصوصية، بل تستغل ميزاته الشرعية للحصول على وصول سري إلى محادثات الضحايا وقوائم الاتصال الخاصة بهم.
آلية الهجوم: دعم مزيف وطلب رموز التحقق
المهاجمون يتظاهرون بأنهم فريق دعم رسمي للتطبيق أو روبوت محادثة باسم Signal Security ChatBot، ويباشرون التواصل المباشر مع الضحايا المحتملين. ثم يطلبون منهم إدخال رمز التحقق أو رقم التعريف الشخصي (PIN) الذي يصل عبر رسالة نصية، مهددين بفقدان البيانات إذا لم يتم ذلك.
في حال استجابة الضحية، يتمكن المهاجمون من تسجيل الحساب على أجهزتهم الخاصة، ما يمنحهم وصولاً إلى الملف الشخصي والإعدادات وقوائم الاتصال، إضافة إلى القدرة على إرسال رسائل باسم الضحية. ورغم أن الرمز المسروق لا يسمح بالاطلاع على المحادثات السابقة، إلا أنه يتيح اعتراض الرسائل الجديدة فور وصولها.
استغلال ميزة ربط الأجهزة
هناك سيناريو بديل يعتمد على خداع الضحية لمسح رمز QR عبر ميزة ربط الأجهزة، مما يمنح المهاجمين وصولاً إلى الحساب على جهاز تحت سيطرتهم. في هذه الحالة، يظل الضحية قادراً على استخدام حسابه، لكنه لا يدرك أن محادثاته وقوائم اتصاله مكشوفة للمهاجمين.
السلطات الألمانية حذرت من أن هذه التقنية يمكن أن تُستخدم أيضاً ضد تطبيقات أخرى مثل WhatsApp، نظراً لتشابه ميزات التحقق وربط الأجهزة بين المنصتين.
خلفيات دولية: روسيا، الصين، إيران
رغم عدم تحديد الجهة المسؤولة عن الحملة الحالية، فإن تقارير سابقة من Microsoft وGoogle Threat Intelligence Group ربطت هجمات مشابهة بمجموعات تهديد مرتبطة بروسيا مثل Star Blizzard وUNC5792 وUNC4221.
وفي ديسمبر 2025، كشفت شركة Gen Digital عن حملة أخرى باسم GhostPairing استهدفت مستخدمي WhatsApp عبر ميزة ربط الأجهزة للاستيلاء على الحسابات.
على الصعيد الدولي، اتهمت الحكومة النرويجية مجموعات مدعومة من الصين مثل Salt Typhoon باختراق مؤسسات محلية عبر أجهزة الشبكات، إضافة إلى اتهام روسيا بمراقبة أهداف عسكرية، وإيران باستهداف معارضين عبر اختراق البريد الإلكتروني والحسابات الشخصية.
كما حذرت CERT Polska من هجمات منسقة على أكثر من 30 منشأة للطاقة المتجددة في بولندا، نفذتها مجموعة روسية تدعى Static Tundra، مستغلة أجهزة FortiGate التي كانت مكشوفة على الإنترنت دون حماية بمصادقة متعددة العوامل.
توصيات الحماية للمستخدمين
السلطات الألمانية شددت على ضرورة عدم التفاعل مع حسابات دعم مزيفة وعدم إدخال رمز PIN عبر الرسائل النصية. كما أوصت بتفعيل ميزة Registration Lock التي تمنع تسجيل رقم الهاتف على جهاز آخر دون إذن، ومراجعة قائمة الأجهزة المرتبطة بشكل دوري وحذف أي جهاز غير معروف.
هذه الإجراءات البسيطة تشكل خط الدفاع الأول ضد محاولات الاستيلاء على الحسابات، خاصة في ظل تزايد الحملات التي تستهدف شخصيات مؤثرة في السياسة والإعلام والمجتمع المدني.
