الخصوصية

هجوم برامج التجسس على واتساب يكشف حدود أمان التطبيقات

2 أبريل 20264 دقيقة قراءة

شركة المراقبة الإيطالية استخدمت تطبيق واتساب مزيفاً لنشر برامج التجسس

كشف واتساب أن شركة مراقبة إيطالية تُدعى ASIGINT، وهي شركة تابعة لمؤسسة باسم SIO، خدعت نحو 200 مستخدم لتنزيل نسخة مزيفة من تطبيق المراسلة محملةً ببرامج تجسس. وكان معظم الضحايا مقيمين في إيطاليا، ووُصفت الحملة بأنها شديدة الاستهداف، إذ اعتمدت على الهندسة الاجتماعية بدلاً من استغلال ثغرات تقنية في واتساب نفسه.

وبمجرد أن حدّد واتساب الحسابات المتضررة، أوقف الشركة جلسات هؤلاء المستخدمين على المنصة وحثّهم على تحديد موقع التطبيق الاحتيالي وإزالته من أجهزتهم. وقد صرّحت شركة SIO علناً بأنها تعمل مع جهات إنفاذ القانون ووكالات الاستخبارات، غير أن إفصاح واتساب لم يُقرّ بهذه الادعاءات أو يؤيدها.

وهذه هي المرة الثانية خلال 15 شهراً التي تتناول فيها شركة ميتا، الشركة الأم لواتساب، علناً نشاطاً لبرامج تجسس مرتبطاً بإيطاليا. ويشير هذا النمط إلى تصاعد الاهتمام بأدوات المراقبة التجارية العاملة في المنطقة.

كيف تبدو الهندسة الاجتماعية في الواقع

كثيراً ما يُعامَل مصطلح "الهندسة الاجتماعية" باعتباره مصطلحاً تقنياً متخصصاً، إلا أن المفهوم في جوهره بسيط: بدلاً من اختراق النظام، يتلاعب المهاجمون بالأشخاص لدفعهم إلى فتح الباب بأنفسهم.

في هذه الحالة، جرى خداع الضحايا لتنزيل تطبيق يبدو في ظاهره واتساب لكنه ليس كذلك. ويُرجَّح أن عملية الخداع اشتملت على مزيج من الروابط المزيفة للتنزيل، والتعليمات المضللة، أو انتحال صفة مصدر موثوق. ولم تكن هناك حاجة إلى أي ثغرة في الكود الخاص بواتساب، إذ نجح الهجوم لأن الناس وثقوا بما عُرض عليهم.

وهذا تمييز جوهري. فعندما تُصلح شركة ما خللاً برمجياً، فإنها تُغلق نقطة دخول تقنية. أما هجمات الهندسة الاجتماعية فلا تعتمد على تلك الثغرات، بل تعتمد على السلوك البشري، وتحديداً الميل إلى الوثوق بالواجهات المألوفة المظهر واتباع التعليمات الصادرة عن جهات تبدو موثوقة.

ولا يمكن لأي تحديث للتطبيق، مهما كان شاملاً، أن يسدّ هذه الثغرة بالكامل.

مشكلة متكررة مع برامج التجسس التجارية

باتت أدوات المراقبة التجارية المُباعة للحكومات وجهات إنفاذ القانون مصدر قلق مستمر لدى باحثي الخصوصية ومنظمات الحريات المدنية. وكثيراً ما تحتج الشركات التي تطور هذه الأدوات بأنها تخدم أغراضاً تحقيقية مشروعة. في المقابل، يُشير المنتقدون إلى أن الأدوات ذاتها يمكن أن تُستخدم، وقد استُخدمت فعلاً، ضد الصحفيين والناشطين والمحامين والمواطنين العاديين الذين لا صلة لهم بأي نشاط إجرامي.

وتنتمي ASIGINT وSIO إلى نمط مألوف في هذا المجال. وإن وجود تطبيق واتساب مزيف مصمم لتسليم برامج تجسس بصمت يطرح تساؤلات جدية حول الرقابة، ومعايير الاستهداف، والأطر القانونية التي حكمت هذه الحملة إن وُجدت. ولم يتناول إفصاح واتساب تلك التساؤلات، غير أن الأمر اللافت هو أن منصة كبرى شعرت بالحاجة إلى الإفصاح عن اسم الشركة علناً وتحذير المستخدمين المتضررين.

وبالنسبة للـ 200 شخص تقريباً الذين طالتهم هذه الحملة، فإن التجربة تمثّل تذكيراً صارخاً بأن التهديد لم يأتِ من ثغرة في تطبيق اختاروا استخدامه، بل جاء من خداعهم لاستخدام تطبيق مختلف كلياً.

ماذا يعني هذا بالنسبة لك

من غير المرجح أن يكون مستخدم واتساب العادي هدفاً لعملية مراقبة تجارية. إذ تميل هذه الحملات إلى أن تكون مكلفة وتستهلك جهداً كبيراً، وتستهدف أفراداً بعينهم. لكن الأسلوب الجوهري المتمثل في خداع شخص ما لتثبيت تطبيق خبيث بجعله يبدو شرعياً ليس حكراً على عمليات المراقبة التي تقوم بها الدول. إذ تظهر أشكال متعددة من هذا الأسلوب في حملات التصيد الاحتيالي ومخططات الاحتيال اليومية حول العالم.

وتُعدّ قضية واتساب تذكيراً مفيداً بأن السلامة الرقمية ليست مجرد مسألة الوثوق بالتطبيقات الصحيحة، بل تستلزم أيضاً الانتباه إلى مصدر تلك التطبيقات.

إليك خطوات عملية تستحق الأخذ بها:

قم بتنزيل التطبيقات من المصادر الرسمية فقط. على أجهزة أندرويد، يعني ذلك متجر Google Play. وعلى أجهزة iOS، يعني ذلك App Store. تجنّب تثبيت التطبيقات من الروابط المُرسَلة عبر الرسائل، حتى من أشخاص تعرفهم.
تحقق قبل أن تثبّت. إذا أرسل إليك شخص ما رابطاً لتنزيل تطبيق، فتحقق من الموقع الرسمي لذلك التطبيق مباشرةً بدلاً من اتباع الرابط.
أبقِ ميزات الأمان في جهازك فعّالة. تُنبّه معظم أنظمة التشغيل الحديثة إلى التطبيقات الصادرة من مصادر غير موثوقة. انتبه لتلك التحذيرات.
كن متشككاً حين يُستحثّ فيك الاستعجال. كثيراً ما تخلق هجمات الهندسة الاجتماعية شعوراً بالإلحاح لتعطيل التفكير المتأني. إذا شعرت بأن ثمة ضغطاً في التعليمات، فأبطئ وتريّث.
تصرّف بجدية حيال تحذيرات مزودي التطبيقات. تواصل واتساب بشكل استباقي مع المستخدمين المتضررين. إذا تواصلت معك خدمة تستخدمها بشأن مخاوف أمنية، فخذ الأمر بجدية واتبع إرشاداتهم.

والدرس الأشمل المستفاد من هذه الحادثة هو أن الأمان ليس شيئاً يمكن لأي تطبيق منفرد أن يوفره بالكامل نيابةً عنك. فالبقاء في مأمن يتطلب عادات راسخة، لا مجرد أدوات. ولا يزال معرفة مصدر برامجك، والتشكيك فيما يبدو غير طبيعي، من أكثر وسائل الدفاع فاعلية المتاحة لأي مستخدم.

// الأسئلة الشائعة

من كان المسؤول عن هجوم برامج التجسس عبر تطبيق واتساب المزيف؟

كانت شركة مراقبة إيطالية تُدعى ASIGINT، وهي شركة تابعة لمؤسسة باسم SIO، مسؤولةً عن نشر برامج التجسس من خلال تطبيق واتساب مزيف.

كم عدد المستخدمين الذين تضرروا من تطبيق واتساب المزيف؟

تضرر نحو 200 مستخدم، كان معظمهم مقيمين في إيطاليا، في حملة وُصفت بأنها شديدة الاستهداف.

هل استغل الهجوم ثغرة في كود واتساب؟

لا، لم يعتمد الهجوم على أي خلل تقني في واتساب نفسه، بل استخدم الهندسة الاجتماعية لخداع الأشخاص لتنزيل التطبيق الاحتيالي.

ماذا فعل واتساب بعد تحديد الحسابات المتضررة؟

أوقف واتساب جلسات المستخدمين المتضررين على المنصة وحثّهم على تحديد موقع التطبيق الاحتيالي وإزالته من أجهزتهم.

هل هذه هي المرة الأولى التي تتعامل فيها ميتا مع نشاط برامج تجسس مرتبط بإيطاليا؟

لا، هذه هي المرة الثانية خلال 15 شهراً التي تتناول فيها ميتا علناً نشاطاً لبرامج تجسس مرتبطاً بإيطاليا.

شركة المراقبة الإيطالية استخدمت تطبيق واتساب مزيفاً لنشر برامج التجسس

كيف تبدو الهندسة الاجتماعية في الواقع

مشكلة متكررة مع برامج التجسس التجارية

ماذا يعني هذا بالنسبة لك

// الأسئلة الشائعة

// ذات صلة