في حادثة تحمل أبعادًا تتجاوز مجرد الاحتيال المالي، شهدت إحدى الشركات الأمريكية الكبرى في قطاع التصنيع خلال مايو 2025 عملية اختراق ممنهجة، استُهدفت فيها رواتب موظفيها، لا عبر برمجيات متطورة أو اختراق الأنظمة مباشرة، بل من خلال “خدعة ثقة” بسيطة نفذها القراصنة ببراعة عبر محركات البحث. كانت الضحية هذه المرة ليست النظام المالي، بل الموظف نفسه الذي ظن أنه يقوم بعملية روتينية آمنة للوصول إلى بوابة الرواتب عبر الإنترنت.
مدخل القراصنة إلى المؤسسات
يعتمد أغلب الموظفين اليوم على هواتفهم المحمولة في الوصول إلى الخدمات المهنية اليومية، بدء من بريدهم الإلكتروني إلى المنصات الداخلية الخاصة بالشركة. هذا الاعتماد لم يعد فقط وسيلة للمرونة، بل أصبح في كثير من الأحيان الثغرة الأكبر في حصن الأمان السيبراني. ففي هذه الواقعة، لم يستخدم الموظفون رابطًا رسميًا، بل بحثوا عن “بوابة الرواتب” على محرك البحث. هنا كانت المفاجأة: ظهر موقع مزيف صُمم خصيصًا ليطابق الشكل الحقيقي للبوابة الرسمية.
وما إن دخل أحدهم بياناته حتى انتقلت فورًا إلى خوادم المتسللين، لتُستخدم خلال لحظات في تغيير معلومات الإيداع البنكي، وتُحوَّل الرواتب الشهرية إلى حسابات تقع خارج نطاق رقابة المؤسسة.
هندسة اجتماعية رقمية تستغل العادة لا الثغرة
ما يثير القلق في هذا الهجوم، أنه لم يستند إلى ضعف في أنظمة الحماية التقنية للمؤسسة، بل إلى ضعف في “سلوك الاستخدام”. فغالبية الموظفين، خاصة من خارج قسم تكنولوجيا المعلومات، لا يميزون بين رابط رسمي وآخر مزيف إذا بدا متقنًا في التصميم. القراصنة هنا اعتمدوا على تقنية تحسين نتائج محركات البحث، ليظهر الموقع الوهمي في الصدارة. لم يكن الدخول عبر رابط مشبوه، بل عبر نتيجة بحث نظيفة، وهنا يكمن الخطر الأكبر: الاحتيال صار يتقن التنكر في ثوب الشرعية.
أحد أبرز العوامل التي ساعدت في نجاح هذه الحملة الإلكترونية هو استخدام الضحايا لهواتفهم المحمولة في إجراء المعاملات الحساسة. الأجهزة المحمولة، رغم تطورها، ما تزال أقل قدرة على رصد التهديدات مقارنة بالحواسيب المؤمنة داخل مقرات الشركات. الهاتف المحمول، الذي يُستخدم يوميًا في التواصل ومتابعة الأعمال، أصبح سلاحًا ذا حدين؛ لا سيما أنه غالبًا ما يكون خارج شبكة الشركة ومفتوحًا على شبكات منزلية أو عامة، ما يجعله أكثر عرضة للاختراق.
خيوط يصعب تتبعها
أظهرت التحقيقات التي قادتها شركة ReliaQuest المختصة بالأمن السيبراني، أن الهجمة لم تعتمد فقط على الصفحة المزيفة، بل جرى نقل البيانات المدخلة عبر بروتوكول تواصلي حي يعرف بـ WebSocket، مما يمنح المهاجمين فرصة زمنية فورية لاستخدام المعلومات قبل أن يستشعر النظام أي اختراق. هذا النوع من القنوات يُستخدم عادة في التطبيقات التفاعلية، لكنه صار أداة فعالة في يد القراصنة.
كما استخدم المهاجمون شبكات محلية وأجهزة توجيه مألوفة مثل تلك التابعة لعلامتي ASUS وPakedge، مما ساعدهم في إخفاء هوية هجماتهم ضمن حركة الإنترنت العادية. استخدموا أيضًا عناوين IP سكنية، الأمر الذي جعل من الصعب على أنظمة الأمان المؤسسية رصدهم أو التمييز بينهم وبين المستخدمين الحقيقيين.
الأكثر إرباكًا أن هذه الهجمات لا تسرق البيانات فحسب، بل تعرقل أيضًا قدرة فرق الأمن السيبراني على تعقب آثار الجريمة. فالمواقع المزيفة تُمحى أو تُبدّل دوميناتها سريعًا، كما أن قنوات النقل المستخدمة لا تترك أثرًا تقليديًا في سجلات المراقبة. ووفقًا لتقارير ReliaQuest، فإن العديد من هذه الصفحات لم تُدرج ضمن قوائم المواقع الضارة بسبب ذكاء أدوات التهرب التي يستخدمها القراصنة، كتمييز الموقع الجغرافي أو بصمة الجهاز، فيمنعون عرض الصفحة على أي باحث أمن.
حملات تصيد موازية تهدد سلاسل المؤسسات
اللافت أن هذه الحملة جاءت في سياق هجمات متزايدة عالميًا تتخذ من البوابات الرسمية والمتاجر الإلكترونية واجهات لخداع المستخدمين. من بين هذه الحملات أداة تصيد معروفة باسم CoGUI، استهدفت آلاف المؤسسات في اليابان عبر صفحات تشبه علامات تجارية كبرى. أداة CoGUI وحدها استخدمت أكثر من 580 مليون رسالة بريدية بين يناير وأبريل 2025، وزُوّدت بآليات تهرب متقدمة تجعل اكتشافها أمرًا بالغ الصعوبة.
كما جرى رصد أداة تُعرف باسم “باندا شوب”، تستغل تطبيق “تيليغرام” وتستخدم روبوتات تفاعلية توزع صفحات تصيد تنتحل صفات مواقع حكومية وتجارية، ما يُمكّن القراصنة من سرقة البيانات ثم بيعها على أسواق إلكترونية سوداء. تدير هذه الأداة مجموعة صينية تُعرف باسم Smishing Triad، التي تُعتبر حاليًا من أخطر الجهات الإلكترونية الإجرامية عالميًا.
كيف نعيد تعريف الحماية؟
الحادثة الأمريكية الأخيرة تدفعنا لإعادة التفكير في معنى الأمن السيبراني داخل المؤسسات. لم تعد الحماية مجرّد برامج مضادة للفيروسات أو أنظمة كشف التسلل، بل أصبحت جزء من سلوك الموظف اليومي. إن ثقافة الأمن المعلوماتي يجب أن تنتقل من الحواسيب إلى الهواتف، من الأسوار التقنية إلى وعي المستخدم.
يجب أن تتضمن السياسات المؤسسية تدريبات دورية للموظفين حول كيفية التحقق من الروابط، كيفية استخدام المصادقة متعددة العوامل، وعدم الاعتماد على نتائج البحث للوصول إلى الخدمات الحساسة. كما ينبغي تطوير أدوات ذكية تحلل سلوك الوصول إلى المواقع وتكتشف أي نمط غير مألوف أو محتمل أن يكون خادعًا.
إن أخطر ما في هذا النمط من الهجمات أنه لا يعتمد على اختراقات عنيفة، بل على الاستكانة إلى العادة: موظف اعتاد على البحث السريع، جهاز محمول بلا حماية كافية، موقع بدا مألوفًا جدًا. هذه العوامل البسيطة، التي تبدو تافهة، هي التي صارت البوابة الأخطر نحو سرقة ملايين الدولارات من رواتب الموظفين.
الرسالة الأهم هنا: لم يعد الأمن الرقمي مجرد مسألة تقنية، بل معركة وعي. فالاختراق الحقيقي يبدأ من لحظة ثقة مفرطة… بشاشة جوال.
