يتفنن الهاكرز دومًا في ابتكار أفكار وحيل للإيقاع بضحاياهم، وكلما تكشَّفت إحدى مناوراتهم يفاجئوننا بمناورة أشدَّ مكرًا ودهاءً، ولهذا السبب تستثمر شركات التكنولوجيا بما فيها شركات الهواتف الذكية والكمبيوتر ومنصات التواصل الاجتماعي وغيرها ملايين الدولارات لتعزيز أمنها وإغلاق أية ثغرة يمكن للهاكرز مهاجمتها، ولكن هل تعتقد بأن الهاكر يحتاج دومًا إلى القيام بهجمات للحصول على ما يريد؟

بالطبع لا، الهاكر صاحب مزاج متقلب لا يرغب في القيام بهجوم على فريسته في كل الأحيان، بل يحب أن يجعلها هي من تأتي إليه بإرادتها، لذلك يلجأ إلى التصيّد الاحتيالي؛ فينتحل صفة شركة أو منظمة أو شخص موثوق به حتى يتمكن من استدراج الفريسة لتقدم له المعلومات التي يريدها دون أية متاعب، ونحن هنا لا نتحدث عن شخصية "إليوت ألدرسون" من مسلسل "مستر روبوت"، بل عن مجموعة من الهاكرز تمكنوا ببراعة من تجميع بيانات من أهم وأكبر شركات التكنولوجيا وبرضاهم وأثبتوا حقيقة أن أية شركة أو مؤسسة مهما كانت محصّنة رقميًا يمكن اختراقها، وتصبح ضحية للهاكرز!

هكذا تمكن مجموعة من الهاكرز من خداع شركتي أبل وميتا

في مخطط احتيالي متقن استغل الهاكرز من خلاله ثغرة قانونية في سياسة عمل الشركات جعلت كلاً من أبل و ميتا (الشركة الأم لفيسبوك) تسلمهم بيانات خاصة بالمستخدمين بملء إرادتها ودون الحاجة للقيام بأي هجمات، حيث انتحل مجموعة من الهاكرز صفة أمنية رسمية وأرسلوا طلبات مزورة إلى تلك الشركات تطالب بالحصول على بيانات عدد من العملاء، واستجابت الشركتان لهذه الطلبات وقدمت معلومات حساسة تتعلق بالمستخدمين بما فيها عناوين IP الخاصة بهم وأرقام هواتفهم وحتى عناوين منازلهم.

ورغم النظام الصارم الذي تتبعه كلا الشركتين للتحقق من شرعية هذا الإجراء قبل تسليم البيانات، إلا أنهما وقعتا فريسة لعملية تصيد احتيالي ونجح الهاكرز في خداعهم، حيث قال المتحدث باسم ميتا "آندي ستون" إن لديهم إجراءات أمنية للتحقق من الطلبات القانونية، وأضاف إنهم  يحظرون الحسابات المخترقة المعروفة ويعملون مع سلطات إنفاذ القانون للرد على الحوادث المتعلقة بالتطبيقات الاحتيالية المشتبه بها، وهذا ما فعلوه هذه المرة، وكذلك أشارت أبل إلى الإجراءات الأمنية التي تطبقها والسياسات التي تتبعها للتحقق من شرعية هذه الطلبات، ولكن غالبًا ما تفشل جميع هذه الإجراءات حين تأتي الطلبات من بريد إلكتروني مرتبط بوكالات شرعية موثوقة.

كان القبول أو الرفض مسألة حياة أو موت

عند قيام قوى الأمن بتحقيقات جنائية غالبًا ما يلجأ ضباط إنفاذ القانون إلى شركات التكنولوجيا ومنصات التواصل الاجتماعي لتزويدهم بالبيانات المطلوبة لمالكي حسابات معينة لاستكمال التحقيقات، وإن تسليم هذه الشركات لبيانات المستخدمين هو أمر مشروع ومنصوص عليه في القانون الأمريكي، ولا يتم ذلك إلّا بإرسال طلب رسمي بأمر من المحكمة –أمر استدعاء أو مذكّرة تفتيش- أي بمعنى أدق يجب أن يحمل هذا الطلب توقيعًا من القاضي.

وبموجب هذا القانون تقدم شركات مثل فيسبوك وأبل وغيرهما البيانات المطلوبة بانتظام إلى القوى الأمنية كلما تلقّت طلبًا منها، كما أن لديها فرقاً متخصصة للرد على هذه الطلبات، ولكن هناك حالات يكون الوقت فيها عاملًا حاسمًا ولذا تكون الطلبات أكثر مرونة بحيث يتم إرسالها غير موقعة من القاضي وتسمى بـ "طلبات بيانات الطوارئ EDR"، وهذه الطلبات مصمّمة للحالات عالية الخطورة والتي تكون فيها حياة شخص أو أكثر مهددة بالخطر مثل حالات الاختطاف وغيرها، وهنا تكون الشركات أمام خيارين إما المخاطرة بحياة شخص ما من خلال أخذ وقتهم والانتظار لتأكيد هوية المرسل، أو المخاطرة بتسريب بيانات المستخدم من خلال الاستجابة السريعة وتقديمها دون التحقق من هوية المرسل.

استغلال ثغرة EDR لخداع شركتي أبل وميتا

اكتشف الهاكرز هذا الإجراء السلس واستغلوا ثغرة EDR لصالحهم، فتمكنوا في البداية من الوصول غير المشروع إلى أنظمة البريد الإلكتروني لقسم الشرطة، وبعدها انتحلوا صفة سلطة إنفاذ القانون من خلال التوقيعات المزورة لضباط الشرطة، واستخدموا الطلبات القانونية الحقيقية كقوالب لإنشاء طلبات مزورة شرحوا فيها التهديد المحتمل المتمثل في عدم تلقي البيانات المطلوبة على الفور، وأرسلوا طلبات بيانات الطوارئ EDR المزورة إلى كلٍّ من ميتا وأبل للحصول على بيانات حساسة لعدد من المستخدمين، وبدورهما قامتا كالمعتاد بالاستجابة وتقديم البيانات المطلوبة إلى الجهة المرسلة عن حسن نية، ولم تدرك أيٌّ منهما أن الطلبات كانت مزورة إلا بعد فوات الأوان.

وحتى الآن لم يتم تحديد عدد المرات التي أرسل فيها الهاكرز طلبات مزورة لهذه الشركات، فقد نشرت كل من ميتا و أبل تقريراً يشير إلى امتثالها الدائم لطلبات بيانات الطوارئ، ففي الفترة الممتدة من يوليو إلى ديسمبر 2020 تلقت أبل 1162 طلبًا من 29 دولة قدمت بيانات استجابة لـ 93% من هذه الطلبات، وفي الفترة الممتدة من يناير إلى يونيو 2021 تلقت ميتا 21700 طلبًا على مستوى العالم حيث استجابت لـ 77% من تلك الطلبات.

مخطط محنّك أبطاله مراهقون

أفاد تقرير من "بلومبرج نيوز" أن هذا الاختراق كان مخططاً منظمًا من قبل فريق من القراصنة المراهقين المتواجدين في الولايات المتحدة الأمريكية وإنجلترا، وتشير أصابع الاتهام إلى مجموعة تسمى "Recursion Team - فريق الاسترداد"، رغم أن هذه المجموعة لم تعد نشطة ولكن لا يزال أفرادها يمارسون نشاطات القرصنة بأسماء مختلفة وكجزء من عصابة الجرائم الإلكترونية سيئة السمعة "$Lapsus"، التي أذهلت وحيّرت الأمن السيبراني وتمكنت من اختراق شركات عالية المستوى مثل مايكروسوفت و إنفيديا وسامسونج وغيرها من الشركات، ومن المرجح أن أحد المشاركين في الفريق هو الزعيم والعقل المدبر لعصابة "لابسوس" المراهق الملقب بـ "White" والذي يبلغ من العمر 16 عامًا ويعيش مع والديه بالقرب من أوكسفورد، وزُعم  أنه حصل على 14 مليون دولار من خلال أنشطة القرصنة التي قام بها.

شركات أخرى وقعت في الفخ

لم تكن أبل وميتا الشركتين الوحيدتين المستهدفتين بل إن ما حدث معهما كان جزءًا من حملة احتيال بدأت في يناير 2021 واستهدفت مجموعة واسعة من شركات التكنولوجيا طالت شركتي Snap و Discord.

اعترفت Discord بتسريب معلومات شخصية للمستخدمين وصرّحت بأنها تلقت طلبات بيانات طوارئ من مصدر موثوق ووفقًا لسياستها فإنها تمتثل لمثل هذه الطلبات بعد أن تتحقق من مصدرها وهذا ما حدث بالفعل، حيث أكدت عملية التحقق التي أجرتها أن جميع الطلبات شرعية ولكنها علمت فيما بعد أنه تم اختراقها وإرسال طلبات مزورة من حساب بريد إلكتروني أصلي تم اختراقه، وحدث الأمر نفسه مع Snap الشركة الأم لتطبيق Snapchat حيث تلقت طلبًا مزورًا من نفس العصابة ولكن لم تصرّح فيما إذا انطلت عليها الحيلة واستجابت لهذا الطلب أم لا.

الضحية الحقيقية هم المستخدمون الذين تسربت بياناتهم

اتخذت ميتا وأبل التدابير الأمنية اللازمة لعدم الوقوع في فخ الهاكرز مرة أخرى، ولكن ما الفائدة بعد أن تسربت نسبة كبيرة من بيانات المستخدمين. فبعد نجاح مخططهم وبلوغ غايتهم أقدم المتسللون على تنفيذ حملات مضايقة وابتزاز  للمستخدمين أصحاب البيانات المسربة، ومن المتوقع أنهم يدبرون مخططات احتيال مالي لينفذوها لاحقًا بالاستعانة بالبيانات التي حصلوا عليها والتي يمكن من خلالها تجاوز إجراءات الأمان لحسابات الضحايا.

لا بد أن ما حدث قد ترك لديك سؤالًا عن مدى أمان بياناتك في أيدي شركات التكنولوجيا ومدى سهولة الحصول عليها، ولأن الحقيقة المرة أفضل ألف مرة من الوهم المريح من الضروري أن تدرك أن بياناتك ليست بأمان، فالشركات-التي تأتمنها على معلوماتك الحساسة- من الممكن أن تستسلم لطلبات مزورة في أي وقت وتقدم بياناتك للهاكرز على طبق من فضة. ومن خلال هذه البيانات يمكن للهاكرز انتحال شخصيتك والاستيلاء على حساباتك المصرفية وحتى ارتكاب جرائم باسمك، لذا يجب أن تكون أكثر حرصًا وانتباهًا على بياناتك الرقمية، أين تحفظها وكيف ومع من تشاركها، وتذكر أنه مهما تعددت أساليب وحيل الهاكرز في الاختراق فإن هدفهم واحد وهو بيانات المستخدم.