كيف استهدفت حملة قرصنة مستخدمي Gmail وWhatsApp البارزين في جميع أنحاء الشرق الأوسط
يوم الثلاثاء، قام الناشط الإيراني المقيم في المملكة المتحدة ناريمان غريب بتغريد لقطات شاشة منقحة لرابط تصيد تم إرساله إليه عبر رسالة WhatsApp.
وحذر غريب قائلاً: “لا تنقر على الروابط المشبوهة”. وقال الناشط، الذي يتابع الجانب الرقمي للاحتجاجات الإيرانية من بعيد، إن الحملة استهدفت الأشخاص المشاركين في الأنشطة المتعلقة بإيران، مثله.
وتأتي حملة القرصنة هذه في الوقت الذي تواجه فيه إيران أطول فترة إغلاق للإنترنت على مستوى البلاد في تاريخها، مع احتدام الاحتجاجات المناهضة للحكومة – وحملات القمع العنيفة – في جميع أنحاء البلاد. وبالنظر إلى أن إيران وأقرب خصومها ينشطون بشكل كبير في الفضاء السيبراني الهجومي (اقرأ: اختراق الأشخاص)، فقد أردنا معرفة المزيد.
قام غريب بمشاركة رابط التصيد الاحتيالي الكامل مع TechCrunch بعد وقت قصير من نشره، مما يسمح لنا بالتقاط نسخة من الكود المصدري لصفحة الويب الخاصة بالتصيد الاحتيالي المستخدمة في الهجوم. كما شارك أيضًا في كتابة النتائج التي توصل إليها.
قامت TechCrunch بتحليل الكود المصدري لصفحة التصيد الاحتيالي، ومع مدخلات إضافية من الباحثين الأمنيين، نعتقد أن الحملة تهدف إلى سرقة Gmail وبيانات الاعتماد الأخرى عبر الإنترنت، واختراق حسابات WhatsApp، وإجراء المراقبة عن طريق سرقة بيانات الموقع والصور والتسجيلات الصوتية.
ومع ذلك، فمن غير الواضح ما إذا كان المتسللون عملاء مرتبطين بالحكومة، أو جواسيس، أو مجرمي الإنترنت – أو الثلاثة جميعًا.
كما حددت TechCrunch أيضًا طريقة لعرض نسخة في الوقت الفعلي من جميع ردود الضحايا المحفوظة على خادم المهاجم، والتي تُركت مكشوفة ويمكن الوصول إليها بدون كلمة مرور. كشفت هذه البيانات عن عشرات الضحايا الذين أدخلوا بيانات اعتمادهم عن غير قصد في موقع التصيد الاحتيالي ومن المحتمل أن يتم اختراقهم لاحقًا.
وتشمل القائمة أكاديميًا شرق أوسطيًا يعمل في دراسات الأمن القومي؛ ورئيس صانع طائرات بدون طيار إسرائيلي؛ وزير كبير في الحكومة اللبنانية؛ صحفي واحد على الأقل؛ والأشخاص في الولايات المتحدة أو الذين لديهم أرقام هواتف أمريكية.
تقوم TechCrunch بنشر النتائج التي توصلنا إليها بعد التحقق من صحة جزء كبير من تقرير غريب. موقع التصيد الاحتيالي معطل الآن.
داخل سلسلة الهجوم
وبحسب غريب، فإن رسالة الواتساب التي تلقاها تحتوي على رابط مشبوه، أدى إلى تحميل موقع تصيد في متصفح الضحية.
يوضح الرابط أن المهاجمين اعتمدوا على موفر DNS ديناميكي يسمى DuckDNS في حملة التصيد الاحتيالي الخاصة بهم. يسمح موفرو DNS الديناميكيون للأشخاص بالاتصال بعناوين الويب سهلة التذكر – في هذه الحالة، أ duckdns.org المجال الفرعي – إلى خادم قد يتغير عنوان IP الخاص به بشكل متكرر.
ليس من الواضح ما إذا كان المهاجمون قد أغلقوا موقع التصيد من تلقاء أنفسهم أم أنه تم القبض عليهم وقطعهم بواسطة DuckDNS. لقد تواصلنا مع DuckDNS للاستفسار، لكن مالكها ريتشارد هاربر طلب منا إرسال تقرير عن إساءة الاستخدام بدلاً من ذلك.
ومما نفهمه، استخدم المهاجمون DuckDNS لإخفاء الموقع الحقيقي لصفحة التصيد الاحتيالي، وذلك لجعلها تبدو وكأنها رابط WhatsApp حقيقي.
تمت استضافة صفحة التصيد الاحتيالي بالفعل في alex-fabow.online، وهو النطاق الذي تم تسجيله لأول مرة في أوائل نوفمبر 2025. يحتوي هذا النطاق على العديد من النطاقات الأخرى ذات الصلة المستضافة على نفس الخادم المخصص، وتتبع أسماء النطاقات هذه نمطًا يشير إلى أن الحملة استهدفت أيضًا موفري غرف الاجتماعات الافتراضية الآخرين، مثل meet-safe.online و whats-login.online.
لسنا متأكدين مما يحدث أثناء تحميل رابط DuckDNS في متصفح الضحية، أو كيف يحدد الرابط صفحة التصيد المحددة التي سيتم تحميلها. من المحتمل أن رابط DuckDNS يعيد توجيه الهدف إلى صفحة تصيد محددة بناءً على المعلومات التي يلتقطها من جهاز المستخدم.
لن يتم تحميل صفحة التصيد الاحتيالي في متصفح الويب الخاص بنا، مما يمنعنا من التفاعل معها بشكل مباشر. ومع ذلك، فإن قراءة الكود المصدري للصفحة أتاحت لنا فهم كيفية عمل الهجوم بشكل أفضل.
التصيد الاحتيالي لبيانات اعتماد Gmail ورقم الهاتف
اعتمادًا على الهدف، سيؤدي النقر على رابط التصيد إلى فتح صفحة تسجيل دخول مزيفة إلى Gmail، أو طلب رقم هاتفه، وبدء تدفق هجوم يهدف إلى سرقة كلمة المرور الخاصة به ورمز المصادقة الثنائية.
لكن الكود المصدري لرمز صفحة التصيد الاحتيالي كان به عيب واحد على الأقل: وجدت TechCrunch أنه من خلال تعديل عنوان URL لصفحة التصيد الاحتيالي في متصفح الويب الخاص بنا، يمكننا عرض ملف على خوادم المهاجم الذي كان يخزن سجلات لكل ضحية أدخل بيانات الاعتماد الخاصة به.
يحتوي الملف على أكثر من 850 سجلاً للمعلومات المقدمة من الضحايا أثناء تدفق الهجوم. توضح هذه السجلات بالتفصيل كل جزء من تدفق التصيد الاحتيالي الذي كان الضحية فيه. وشمل ذلك نسخًا من أسماء المستخدمين وكلمات المرور التي أدخلها الضحايا في صفحة التصيد الاحتيالي، بالإضافة إلى الإدخالات غير الصحيحة والرموز الثنائية الخاصة بها، والتي تعمل بشكل فعال بمثابة برنامج تسجيل ضربات المفاتيح.
وتضمنت السجلات أيضًا وكيل المستخدم الخاص بكل ضحية، وهو عبارة عن سلسلة من النصوص تحدد نظام التشغيل وإصدارات المتصفح المستخدمة لعرض مواقع الويب. توضح هذه البيانات أن الحملة تم تصميمها لاستهداف مستخدمي أنظمة التشغيل Windows وmacOS وiPhone وAndroid.
سمح لنا الملف المكشوف بمتابعة تدفق الهجوم خطوة بخطوة لكل ضحية. في إحدى الحالات، يُظهر الملف المكشوف الضحية وهي تنقر على رابط ضار، مما يؤدي إلى فتح صفحة تشبه نافذة تسجيل الدخول إلى Gmail. يُظهر السجل أن الضحية يقوم بإدخال بيانات اعتماد البريد الإلكتروني الخاصة به عدة مرات حتى يقوم بإدخال كلمة المرور الصحيحة.
تُظهر السجلات أن الضحية نفسه يقوم بإدخال رمز المصادقة الثنائية الذي تم إرساله إليه عبر رسالة نصية. يمكننا معرفة ذلك لأن Google ترسل رموزًا ثنائية العامل بتنسيق معين (عادةً G-xxxxxx، ويضم رمزًا رقميًا مكونًا من ستة أرقام).
اختطاف WhatsApp واستخراج بيانات المتصفح
وبعيدًا عن سرقة بيانات الاعتماد، يبدو أن هذه الحملة تعمل أيضًا على تمكين المراقبة من خلال خداع الضحايا لمشاركة موقعهم وصوتهم وصورهم من أجهزتهم.
في حالة غريب، أدى النقر على الرابط الموجود في رسالة التصيد إلى فتح صفحة مزيفة تحمل عنوان WhatsApp في متصفحه، والتي تعرض رمز الاستجابة السريعة. ويهدف الإغراء إلى خداع الهدف لمسح الرمز الموجود على أجهزته، بزعم الوصول إلى غرفة اجتماعات افتراضية.
وقال غريب إن رمز الاستجابة السريعة تم إنشاؤه بواسطة المهاجم، وسيؤدي مسحه أو النقر عليه إلى ربط حساب WhatsApp الخاص بالضحية على الفور بجهاز يتحكم فيه المهاجم، مما يتيح له الوصول إلى بيانات الضحية. هذه تقنية هجوم معروفة منذ فترة طويلة تسيء استخدام ميزة ربط جهاز WhatsApp وتم إساءة استخدامها بالمثل لاستهداف مستخدمي تطبيق المراسلة Signal.
لقد طلبنا من مؤسس شركة Granitt، رونا ساندفيك، وهي باحثة أمنية تعمل على المساعدة في تأمين الأفراد المعرضين للخطر، فحص نسخة من رمز صفحة التصيد الاحتيالي ومعرفة كيفية عملها.
وجد Sandvik أنه عند تحميل الصفحة، سيؤدي الرمز إلى تشغيل إشعار متصفح يطلب من المستخدم الإذن للوصول إلى موقعه (عبر navigator.geolocation)، وكذلك الصور والصوت (navigator.getUserMedia).
وفي حالة الموافقة، سيقوم المتصفح على الفور بإرسال إحداثيات الشخص إلى المهاجم، وهو قادر على تحديد موقع الضحية. ستستمر الصفحة بعد ذلك في مشاركة بيانات موقع الضحية كل بضع ثوانٍ، طالما ظلت الصفحة مفتوحة.
كما سمح الرمز للمهاجمين بتسجيل دفعات من الصوت والتقاط الصور كل ثلاث إلى خمس ثوانٍ باستخدام كاميرا الجهاز. ومع ذلك، لم نر أي بيانات موقع أو صوت أو صور تم جمعها على الخادم.
أفكار حول الضحايا والتوقيت والإسناد
ولا نعرف من يقف وراء هذه الحملة. والأمر الواضح هو أن الحملة كانت ناجحة في سرقة بيانات الاعتماد من الضحايا، ومن الممكن أن تعود حملة التصيد الاحتيالي إلى الظهور.
وعلى الرغم من معرفة هويات بعض الأشخاص في هذه المجموعة من الضحايا الذين تم استهدافهم، إلا أنه ليس لدينا معلومات كافية لفهم طبيعة الحملة. إن عدد الضحايا الذين تم اختراقهم بواسطة هذه الحملة (التي نعرفها) منخفض إلى حد ما – أقل من 50 فرداً – ويؤثر على الأشخاص العاديين في المجتمع الكردي، فضلاً عن الأكاديميين والمسؤولين الحكوميين وقادة الأعمال وغيرهم من الشخصيات البارزة في الشتات الإيراني الأوسع والشرق الأوسط.
ربما يكون عدد الضحايا أكبر بكثير مما نعلم، مما قد يساعدنا في فهم من كان مستهدفًا وربما السبب.
الحالة أن هذا يمكن أن يكون جهة فاعلة مدعومة من الحكومة
ومن غير الواضح ما الذي دفع المتسللين لسرقة بيانات اعتماد الأشخاص واختطاف حساباتهم على تطبيق WhatsApp، مما قد يساعد أيضًا في تحديد من يقف وراء حملة القرصنة هذه.
على سبيل المثال، قد ترغب إحدى المجموعات المدعومة من الحكومة في سرقة كلمة مرور البريد الإلكتروني والرموز الثنائية لهدف ذي قيمة عالية، مثل سياسي أو صحفي، حتى يتمكنوا من تنزيل معلومات خاصة وسرية.
قد يكون ذلك منطقيًا نظرًا لأن إيران حاليًا معزولة تمامًا عن العالم الخارجي، ويمثل الحصول على المعلومات داخل البلاد أو خارجها تحديًا. من المعقول أن ترغب الحكومة الإيرانية، أو أي حكومة أجنبية لها مصالح في شؤون إيران، في معرفة من يتواصل مع الأفراد ذوي النفوذ المرتبطين بإيران، وماذا بشأن ذلك.
وعلى هذا النحو، فإن توقيت حملة التصيد الاحتيالي هذه ومن تستهدفه على ما يبدو يمكن أن يشير إلى حملة تجسس تهدف إلى محاولة جمع معلومات حول قائمة ضيقة من الأشخاص.
لقد طلبنا من غاري ميلر، الباحث الأمني في Citizen Lab وخبير التجسس على الأجهزة المحمولة، مراجعة كود التصيد الاحتيالي وبعض البيانات المكشوفة من خادم المهاجم.
وقال ميلر إن الهجوم “بالتأكيد [had] “السمات المميزة لحملة التصيد الاحتيالي المرتبطة بالحرس الثوري الإيراني”، في إشارة إلى اختراقات البريد الإلكتروني شديدة الاستهداف التي نفذها الحرس الثوري الإيراني، وهو فصيل من الجيش الإيراني معروف بتنفيذ هجمات إلكترونية. وأشار ميلر إلى مزيج من المؤشرات، بما في ذلك النطاق الدولي لاستهداف الضحايا، وسرقة بيانات الاعتماد، وإساءة استخدام منصات المراسلة الشائعة مثل WhatsApp، وتقنيات الهندسة الاجتماعية المستخدمة في رابط التصيد الاحتيالي.
حالة أن هذا قد يكون فاعلا بدوافع مالية
من ناحية أخرى، يمكن للمتسلل الذي لديه دوافع مالية استخدام نفس كلمة مرور Gmail المسروقة والرمز الثنائي لهدف آخر عالي القيمة، مثل مسؤول تنفيذي في الشركة، لسرقة معلومات تجارية خاصة وحساسة من صندوق الوارد الخاص به. يمكن للمتسلل أيضًا إعادة تعيين كلمات المرور الخاصة بالعملة المشفرة والحسابات المصرفية الخاصة بالضحية بالقوة لإفراغ محافظهم.
ومع ذلك، فإن تركيز الحملة على الوصول إلى موقع الضحية ووسائط جهازها، يعد أمرًا غير معتاد بالنسبة لممثل ذي دوافع مالية، والذي قد لا يستخدم الصور والتسجيلات الصوتية كثيرًا.
لقد طلبنا من إيان كامبل، باحث التهديدات في DomainTools، الذي يساعد في تحليل سجلات الإنترنت العامة، النظر في أسماء النطاقات المستخدمة في الحملة للمساعدة في فهم متى تم إعدادها لأول مرة، وما إذا كانت هذه النطاقات متصلة بأي بنية تحتية أخرى معروفة أو محددة مسبقًا.
ووجد كامبل أنه على الرغم من أن الحملة استهدفت الضحايا في خضم الاحتجاجات المستمرة في إيران على مستوى البلاد، فقد تم إنشاء البنية التحتية لها منذ أسابيع. وأضاف أن معظم النطاقات المرتبطة بهذه الحملة تم تسجيلها في أوائل نوفمبر 2025، وتم إنشاء نطاق واحد ذي صلة منذ أشهر في أغسطس 2025. ووصف كامبل النطاقات بأنها متوسطة إلى عالية المخاطر، وقال إنها تبدو مرتبطة بعملية جريمة إلكترونية مدفوعة بدوافع مالية.
وهناك مشكلة إضافية تتمثل في أن الحكومة الإيرانية معروفة بالاستعانة بمصادر خارجية للهجمات الإلكترونية لمجموعات القرصنة الإجرامية، ربما لحماية تورطها في عمليات القرصنة ضد مواطنيها. وفرضت وزارة الخزانة الأمريكية عقوبات على شركات إيرانية في الماضي لعملها كواجهات للحرس الثوري الإيراني وتنفيذ هجمات إلكترونية، مثل شن هجمات التصيد الاحتيالي والهندسة الاجتماعية المستهدفة.
وكما لاحظ ميلر، “يوضح هذا نقطة مفادها أن النقر على روابط WhatsApp غير المرغوب فيها، بغض النظر عن مدى إقناعها، يعد ممارسة عالية الخطورة وغير آمنة”.
للتواصل بشكل آمن مع هذا المراسل، يمكنك التواصل معه باستخدام تطبيق Signal عبر اسم المستخدم: zackwhittaker.1337
ساهم لورينزو فرانشيسكي-بيتشيراي في إعداد التقارير.