تشفير Signal بخير. مستخدموه هم الهدف.
يتمتع Signal منذ فترة طويلة بسمعة راسخة بوصفه المعيار الذهبي للمراسلة الخاصة. فتشفيره من طرف إلى طرف متين رياضياً، وشفرته البرمجية مفتوحة المصدر، ويحظى بروتوكوله بثقة باحثي الأمن في جميع أنحاء العالم. لذا، حين برزت تقارير تفيد بأن قراصنة مرتبطين بروسيا ينجحون في اختراق حسابات Signal الخاصة بمستخدمين بارزين، فإن السؤال الطبيعي الذي يتبادر إلى الذهن هو: هل تعرّض Signal للاختراق؟
الإجابة المختصرة هي لا. لم يُكسر تشفير Signal. ما انكسر هو شيء يصعب إصلاحه بكثير: الثقة البشرية.
وفقاً للتقارير، يستخدم المهاجمون حملات تصيد احتيالي متطورة لخداع مستخدمي Signal ودفعهم إلى منح صلاحية الوصول إلى حساباتهم بأنفسهم. تتضمن الطريقة عادةً تنبيهات أمنية مزيفة تبدو رسمية بشكل مقنع، تحثّ الضحايا على ربط جهاز جديد بحساباتهم. وما إن يحدث ذلك، حتى يتلقى المهاجم نسخة مباشرة مطابقة لرسائل الضحية في الوقت الفعلي، دون أن يلمس خوادم Signal أو يكسر سطراً واحداً من التشفير.
هذا التمييز بالغ الأهمية. التطبيق ليس هو الثغرة. سلوك المستخدم هو الثغرة.
كيف يعمل الهجوم فعلياً
يدعم Signal ميزة مشروعة تُسمى الأجهزة المرتبطة، تتيح للمستخدمين الوصول إلى حساباتهم من أجهزة هواتف أو حواسيب متعددة في آنٍ واحد. يستغل المهاجمون هذه الميزة عبر توليد رموز QR أو روابط خبيثة تُضيف جهاز المهاجم بصمت إلى حساب الضحية عند مسح الرمز أو النقر على الرابط.
تُصمَّم رسائل التصيد الاحتيالي لإيجاد شعور بالإلحاح. قد تدّعي أن حساب المستخدم قد تعرّض للاختراق، أو أنه بحاجة إلى التحقق من هويته، أو أن تحديثاً أمنياً يستلزم اتخاذ إجراء فوري. والأهداف عالية القيمة التي تقع تحت الضغط أكثر ميلاً للتصرف بسرعة وأقل حرصاً على التدقيق في الطلب.
بمجرد ربط الجهاز، لا يحتاج المهاجم إلى فك أي تشفير. فهو يقرأ الرسائل ببساطة فور وصولها، بنص واضح، تماماً كما يفعل أي جهاز مرتبط شرعي. ويمكنه أيضاً انتحال شخصية الضحية في المحادثات الجارية، وهو ما ينطوي على تداعيات خطيرة للصحفيين والناشطين والمحامين والمسؤولين الحكوميين وغيرهم ممن يتعاملون مع اتصالات حساسة.
يُعرف هذا الأسلوب من الهجمات أحياناً بهجوم الهندسة الاجتماعية أو الاستيلاء على الحساب عبر الوصول المُخوَّل. ولا يتطلب أي ثغرة يوم-صفر، ولا اختراق للخوادم، ولا أي حيلة تشفيرية. كل ما يستلزمه هو أن يرتكب الهدف خطأً واحداً.
ماذا يعني هذا بالنسبة لك
إن كنت تستخدم Signal لأنك تهتم بالخصوصية، فلا ينبغي أن تدفعك هذه الأنباء إلى التخلي عن التطبيق. يظل Signal أحد أكثر منصات المراسلة جديرةً بالثقة، ويواصل التشفير الجوهري حماية الرسائل من الاعتراض أثناء النقل. لكن هذه الحادثة تذكيرٌ بأن التشفير طبقة واحدة من طبقات الأمان، لا الحل الكامل.
فكر في الأمر هكذا: باب الخزنة لا يكون فعّالاً إلا إذا لم يسلّم أحد مفتاحه لمهاجم يدّعي أنه حداد.
بالنسبة لمعظم المستخدمين العاديين، تبقى المخاطر الناجمة عن هذه الحملة المرتبطة بروسيا تحديداً منخفضة. فالأهداف المُبلَّغ عنها هم أفراد بارزون، على الأرجح أشخاص متورطون في عمل سياسي أو عسكري أو صحفي حساس. غير أن الأساليب المستخدمة ليست غريبة أو نادرة. فهجمات التصيد الاحتيالي القائمة على تنبيهات أمنية مزيفة شائعة عبر كل المنصات، وميزة الأجهزة المرتبطة ليست حكراً على Signal.
ينبغي للمستخدمين المهتمين بالخصوصية على أي مستوى من مستويات الخطر أن يتعاملوا مع تطبيقات المراسلة بالطريقة التي يتعامل بها متخصصو الأمن مع أي نظام حساس: بدفاعات متعددة الطبقات ووعي مستمر.
خطوات عملية لحماية حساب Signal الخاص بك
إليك ما يمكنك فعله الآن للحد من تعرضك للخطر:
افحص أجهزتك المرتبطة بانتظام. تُظهر قائمة إعدادات Signal كل جهاز مرتبط حالياً بحسابك. إذا رأيت أي شيء غير مألوف، فأزله فوراً. اجعل هذا الفحص روتيناً دورياً، لا إجراءً لمرة واحدة.
كن متشككاً بعمق في التنبيهات الأمنية. نادراً ما ترسل التطبيقات الشرعية رسائل عاجلة تطلب منك مسح رمز QR أو النقر على رابط للتحقق من حسابك. تعامل مع أي طلب كهذا بوصفه مشبوهاً كأصل، حتى لو بدا رسمياً.
فعّل قفل التسجيل في Signal. تستلزم هذه الميزة إدخال رمز PIN قبل أن يمكن إعادة تسجيل حسابك على جهاز جديد. وهي تُضيف عقبة أمام المهاجمين الذين يحاولون الاستيلاء على الحسابات.
احمِ الجهاز نفسه. يحمي تشفير Signal الرسائل أثناء النقل. وإذا كان هاتفك غير مقفل وسُلِّم لشخص ما، أو تعرّض للبرمجيات الخبيثة، فإن تلك الحماية تنتهي. كلمات مرور قوية للجهاز، وأقفال بيومترية، والحفاظ على تحديث نظام التشغيل، كلها أمور مهمة.
فكر في أمان شبكتك الأشمل. بالنسبة للمستخدمين الذين يتعاملون مع اتصالات بالغة الحساسية، يُضيف توجيه حركة المرور عبر شبكة VPN موثوقة طبقة من إخفاء الهوية تجعل من الصعب على المهاجمين تحديد ملفات تعريف نشاطك أو تحديد موقعك أو إجراء الاستطلاع الذي كثيراً ما يسبق التصيد الاحتيالي المستهدف. لا تُصلح شبكة VPN مشكلة التصيد الاحتيالي، لكنها جزء من نهج متعدد الطبقات يقلل من التعرض الإجمالي للخطر.
تحقق عبر قناة مستقلة. إذا تلقيت رسالة مريبة حتى من جهة اتصال معروفة، فتحقق من الطلب عبر قناة منفصلة تماماً، مكالمة هاتفية أو محادثة وجهاً لوجه أو تطبيق آخر، قبل اتخاذ أي إجراء.
الدرس المستخلص من هجمات التصيد الاحتيالي هذه التي استهدفت Signal ليس أن المراسلة المشفرة عديمة الفائدة. بل إن لا أداة واحدة تمثّل حلاً كاملاً. يحمي Signal رسائلك بشكل استثنائي. أما حماية حسابك فتتطلب منك أن تظل يقظاً تجاه الطرق التي يحاول بها المهاجمون التحايل على التقنية كلياً، باستهدافك أنت بدلاً منها.
