من نحن

تحليل: حملة اختراق واسعة تستهدف مسؤولين وأكاديميين في الشرق الأوسط عبر “واتساب” و”جيميل”

الواثق بالله

تحليل: حملة اختراق واسعة تستهدف مسؤولين وأكاديميين في الشرق الأوسط عبر “واتساب” و”جيميل”

حملة تصيد تستهدف النشطاء والمسؤولين في المنطقة

كشف الناشط الإيراني المقيم في المملكة المتحدة، ناريمان غريب، عن حملة اختراق إلكترونية متطورة تستهدف شخصيات بارزة في منطقة الشرق الأوسط. بدأت الحملة عبر إرسال روابط تصيد احتيالي مشبوهة عبر تطبيق “واتساب”، تهدف إلى اختراق حسابات “جيميل” والوصول إلى البيانات الحساسة للمستهدفين.

تأتي هذه الهجمات في وقت حساس تمر به إيران، حيث تشهد البلاد احتجاجات واسعة وانقطاعات متكررة للإنترنت. وتستهدف الحملة بشكل أساسي الأفراد المنخرطين في أنشطة متعلقة بالشأن الإيراني، مما يثير تساؤلات حول الدوافع السياسية وراء هذه العمليات.

قائمة أهداف رفيعة المستوى

لم تقتصر الحملة على النشطاء فحسب، بل شملت قائمة الأهداف شخصيات مؤثرة ومتنوعة، منها:

  • أكاديمي متخصص في دراسات الأمن القومي في الشرق الأوسط.
  • رئيس شركة إسرائيلية لتصنيع الطائرات بدون طيار.
  • وزير لبناني رفيع المستوى.
  • صحفيون وأفراد يحملون أرقام هواتف أمريكية.

الأساليب التقنية: كيف نُفذ الهجوم؟

وفقاً للتحليلات التقنية، اعتمد المهاجمون على مزود خدمة DNS ديناميكي يُعرف باسم DuckDNS لإخفاء الموقع الحقيقي لصفحات التصيد وجعل الروابط تبدو كأنها روابط رسمية من واتساب. أدت هذه الروابط إلى نطاقات مشبوهة مثل alex-fabow.online، والتي تم تسجيلها في نوفمبر 2025، مما يشير إلى بنية تحتية منظمة تستهدف أيضاً منصات الاجتماعات الافتراضية.

عند النقر على الرابط، يتم توجيه الضحية إلى صفحة تسجيل دخول وهمية لـ “جيميل” تطلب البريد الإلكتروني وكلمة المرور، بالإضافة إلى رمز المصادقة الثنائية (2FA). وتعمل هذه الصفحة كبرنامج رصد لوحة المفاتيح (Keylogger)، حيث تسجل كل ما يدخله المستخدم، حتى المحاولات الخاطئة.

تجاوز سرقة الحسابات إلى التجسس الكامل

لم تتوقف طموحات المهاجمين عند سرقة بيانات الاعتماد؛ بل شملت الحملة محاولات للتجسس المباشر. في حالة الناشط ناريمان غريب، ظهرت صفحة واتساب مزيفة تعرض رمز استجابة سريعة (QR Code). تهدف هذه الخدعة إلى إقناع الضحية بمسح الرمز ضوئياً، مما يمنح المهاجم وصولاً كاملاً إلى حساب واتساب الخاص به عبر ميزة ربط الأجهزة.

علاوة على ذلك، اكتشف الخبراء الأمنيون أن الكود البرمجي لصفحة التصيد يطلب أذونات للوصول إلى الموقع الجغرافي، والميكروفون، والكاميرا. وفي حال الموافقة، يمكن للمهاجمين تتبع إحداثيات الضحية كل بضع ثوانٍ، والتقاط صور وتسجيلات صوتية بشكل دوري.

من يقف وراء الهجوم؟ دوافع سياسية أم إجرامية؟

لا تزال هوية الجهة المنفذة غير مؤكدة، لكن الخبراء ينقسمون في تحليلاتهم:

  • فرضية التجسس الحكومي: يشير غاري ميلر، الباحث في Citizen Lab، إلى أن الهجوم يحمل بصمات مجموعات مرتبطة بالحرس الثوري الإيراني (IRGC)، خاصة مع استهداف شخصيات سياسية وأكاديمية في سياق جيوسياسي متوتر.
  • فرضية الجرائم المالية: يرى باحثون آخرون من DomainTools أن البنية التحتية للنطاقات المستخدمة قد تشير إلى عمليات إجرامية تهدف للربح المادي، عبر سرقة معلومات تجارية أو الوصول إلى محافظ العملات الرقمية.

ومع ذلك، فإن تركيز الحملة على تتبع الموقع الجغرافي وتسجيل الصوت يعد أمراً غير معتاد بالنسبة للمجرمين التقليديين، مما يعزز فرضية التجسس. وتجدر الإشارة إلى أن بعض الحكومات قد تلجأ إلى الاستعانة بمجموعات قرصنة إجرامية لتنفيذ عملياتها كنوع من التمويه.

خلاصة وتحذير

تؤكد هذه الواقعة أن النقر على الروابط غير المرغوب فيها، حتى لو بدت من مصادر موثوقة على واتساب، يظل ممارسة عالية المخاطر. إن تطور أساليب الهندسة الاجتماعية وتجاوز المصادقة الثنائية يتطلب يقظة دائمة من الشخصيات المستهدفة والمؤسسات في المنطقة.

المصدر: TechCrunch

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *