في زمن تتزايد فيه هجمات التجسّس الرقمي وتتعقّد أساليبها، يسلّط هذا المقال الضوء على نوع جديد من الاختراقات التي تتجاوز الأدوات التقنية التقليدية، وتستخدم بدلاً منها خاصية مشروعة داخل Gmail لفتح ثغرة غير مرئية. القصة ليست مجرد حادثة تقنية، بل شهادة مباشرة تكشف كيف يمكن أن يتحوّل الاستخدام الاعتيادي لخدمة بريد إلكتروني إلى باب خلفي يُستغل باحترافية عالية.
بعين خبيرة ومعالجة تحليلية، يستعرض المقال كيفية تنفيذ الهجوم، ويكشف عن جوانب قصور مقلقة في أنظمة الأمان التي يعتمد عليها معظم المستخدمين، واضعًا أمام القارئ دروسًا عملية وتحذيرات استراتيجية لمن يعملون في ملفات حساسة أو يتحركون ضمن دوائر استهداف غير معلنة.
تعرضت للاختراق لأنني أعمل على ملف روسيا، لكن الهجوم الجديد الذكي نفسه يمكن استخدامه ضد أي شخص تقريبًا.
هجوم محكم دون اختراق تقني
كلودي ويبر هي مستشارة برامج أولى في وزارة الخارجية الأمريكية. تواصلت معي عبر البريد الإلكتروني في مايو لمناقشة “التطورات الأخيرة” ونسخت عددًا من زملائها في الوزارة. لم يكن هذا أمرًا غير معتاد بالنسبة لأشخاص في مجالي. لكن ما كان أقل شيوعًا هو أن “كلودي” لم تكن موجودة أصلًا، ولا أي من زملائها الذين يحملون عناوين بريد إلكتروني تابعة لوزارة الخارجية. كانت هذه الخطوة جزءًا من خطة محكمة لاختراق حسابي على Gmail. ويبدو أنها نجحت.
بالنسبة لمراقبي الشأن الروسي المحترفين مثلي، فإن أن تكون هدفًا لاهتمام إلكتروني غير مرغوب فيه هو جزء من الوظيفة. فمحاولات الاختراق والتصيّد الاحتيالي البدائية تحدث بشكل شبه دائم، وفي بعض الأحيان نواجه شيئًا جديدًا أو ذكيًا فعلًا. في عام 2019، كشفت حملة خداع عبر الإنترنت على LinkedIn كانت أول حالة موثقة لاستخدام وجه تم توليده عبر تقنية التزييف العميق (deepfake) كجزء من عملية كهذه. وبعد عامين، كدت أن أنقر على رابط خادع ظننته تذكيرًا بموعد من طبيبي الحقيقي لقياس النظر.
لكن جهود “كلودي” كانت مختلفة مرة أخرى. فقد قام من يقفون خلف هذا الاسم بجمع عدة عناصر منطقية ومقنعة بعناية شديدة، وعلى عكس المرات السابقة، لم يرتكبوا أي خطأ. على سبيل المثال، كانوا يعرفون بوضوح أن أول شيء سأفعله هو الرد على “زملائها” في عناوينهم على state.gov للتحقق من وجودهم – لكنهم كانوا يعرفون أيضًا، وأنا لم أكن أعلم، أن خادم البريد الإلكتروني لوزارة الخارجية الأمريكية يقبل جميع الرسائل الواردة ولن يظهر لك خطأً إذا كتبت إلى أشخاص غير موجودين.
ما تلا ذلك كان عملية بطيئة وصبورة وناجحة في نهاية المطاف لإقناعي بفتح باب خلفي يتيح الوصول إلى جميع رسائلي الإلكترونية.
تم وصف اختراق بريدي الإلكتروني بالتفصيل من قبل “مختبر المواطن” التابع لجامعة تورنتو، وهي منظمة مكرسة لحماية المجتمع المدني من حملات الدول من هذا النوع، ويمكنك قراءة بعض المراسلات مع “كلودي” في تقريرهم. كما أن مجموعة استخبارات التهديدات التابعة لشركة Google أبلغت أيضًا عن العملية وربطتها بعمليات أخرى يُحتمل أن تكون مرتبطة بجهاز الاستخبارات الخارجية الروسي.
استخدم الهجوم ميزة في Gmail وتطبيقات أخرى تُعرف باسم “كلمة مرور خاصة بالتطبيق” (Application-Specific Password أو ASP). هذه وسيلة لإنشاء كلمة مرور خاصة حتى تتمكن من استخدام تطبيقات قديمة أو أقل أمانًا لا تدعم بروتوكولات الأمان الحديثة.
وهنا يكمن الخطر: كلمات المرور الخاصة بالتطبيقات تمثل وسيلة متاحة على نطاق واسع لتجاوز جميع الاحتياطات الأمنية التي يتم التأكيد على أهميتها بشدة، مثل الحصول على رموز تحقق تُرسل إلى هواتفنا. تدعم هذه الميزة كل من Microsoft وApple وGoogle ومنصات أخرى، وتُعرض على أنها مجرد حل تقني روتيني عندما لا تعمل أنظمة الأمان الأخرى، مع القليل من التحذيرات المفهومة للمستخدمين حول مدى خطورة أداة كهذه.
ومن المهم أن نُشير إلى أن هذا الاختراق لم يستغل ثغرة تقنية في البرمجيات. كما أوضحت Google، لم يكن هناك “خلل في Gmail نفسه”؛ بل “استغل المهاجمون وظيفة مشروعة.” وهذا صحيح: إعداد كلمة المرور الخاصة بالتطبيق عمل تمامًا كما هو مصمم. لقد نجح الهجوم من خلال إقناعي بإعداد طريق وصول إلى حسابي مدمج بشكل مقصود، بدلًا من اختراق النظام الأمني. وبالمعنى الحرفي، فإن هذا الباب الخلفي إلى حسابات بريدنا الإلكتروني ليس خللًا، بل ميزة.
ثغرة قانونية في Gmail تهدد الجميع
لكن هناك مشكلة في ذلك. إن وجود خيار متاح على نطاق واسع لتجاوز تدابير الأمان الحديثة وفتح الحساب على مصراعيه كان اكتشافًا مفاجئًا لي، ولكل من تحدثت معهم ممن لا يعملون في مجال الأمن السيبراني بعمق.
لذلك، فإن قول Google بأنه “لا توجد ثغرة مرتبطة بكلمات المرور الخاصة بالتطبيق” هو مرة أخرى، دقيق من الناحية التقنية، لكنه مضلل للغاية من حيث مدى سهولة استغلال ASPs – كما يتضح من حالتي وربما العديد من الحالات الأخرى التي ظهرت الآن (يبدو أنني أول من أفصح علنًا عن تعرضه لهذا النوع من الاستهداف، لكنني متأكد من أنني لن أكون الأخير).
كما أشارت Google، يتلقى المستخدمون إشعارًا عبر البريد الإلكتروني عند إنشاء كلمة مرور خاصة بالتطبيق. لكن ذلك لا يساعد كثيرًا عندما تكون أنت من أنشأها بالفعل – سواء تم خداعك للقيام بذلك أم لا.
وبما أن كل شيء عمل كما هو متوقع، لم تكن هناك أي طريقة لأدرك أن هناك خطبًا ما. وللإنصاف، كانت أنظمة الأمان لدى Google هي من لاحظت في النهاية وجود أمر مريب وتسببت في تجميد حسابي. بعد استعادتي للحساب، وجدت إشعارًا مخفيًا بعمق في إعدادات الأمان حول تسجيل دخول من عنوان مشبوه – مؤرخ قبل ثمانية أيام من تجميد Google للحساب دون سابق إنذار.
إن الطريقة التي شددت بها المنصات الأمنية الرقمية مع الاحتفاظ بخيار استخدام كلمات المرور الخاصة بالتطبيق تشبه تثبيت أقفال جديدة ثقيلة لبابك الأمامي وترك الباب الجانبي مفتوحًا لأي شخص لا يملك المفاتيح. وبسبب ذكاء الهجوم الجديد وإمكانية استهداف أي شخص تقريبًا، جذبت قضيتي قدرًا لا بأس به من الاهتمام في وسائل الإعلام المتخصصة في الأمن السيبراني. كانت شركات أخرى غير Google أسرع في الاعتراف بالمشكلة الأمنية. كما لاحظت شركة Sophos المتخصصة في الأمن السيبراني في تحذير لعملائها بتاريخ 18 يونيو، بأدب: “إن التأثير المحتمل لإنشاء كلمة مرور لتطبيق وتقديمها لطرف ثالث لا يتم توضيحه أثناء عملية الإنشاء.”
بعبارة أخرى، ما كان سيساعد فعلاً هو تحذير واضح أثناء إعداد ASPs يشرح تمامًا ماهيتها وما تقوم به – وهو ما كان سينبهني لما يحدث. وقد أشارت Google، بحق، إلى وجود تحذير من هذا النوع في ملفات الدعم الفني الخاصة بها. لكن هذا لا يُجدي نفعًا إذا لم تذهب إلى تلك الملفات – خاصة إذا كان المهاجم، كما حدث معي، قد زوّدك بدليل إرشادي يبدو رسميًا لإرشادك خلال العملية.
ما بعد الاختراق
الأبطال الحقيقيون في هذه القصة هم العاملون في “مختبر المواطن”، لا سيما خبير الخصوصية والأمن جون سكوت-رايلتون. فقد ساعدني جون، إلى جانب صحفيي رويترز رافائيل ساتر وجيمس بيرسون، في تجميع ما حدث، حين كان كل ما أراه هو أن Google قد جمدت حساباتي (وفي إحدى الحالات أبلغتني بأن السبب هو “انتهاك السياسات”). كما أنهم من استخدموا اتصالاتهم المهنية داخل Google لمحاولة مساعدتي على استعادة السيطرة على الحساب.
يسمي “مختبر المواطن” نفسه “مختبرًا متعدد التخصصات” يركز على البحث في تقاطع تكنولوجيا المعلومات وحقوق الإنسان. لكن تحقيقاتهم في التجسس الرقمي ضد المجتمع المدني، وجهودهم في حماية خصوصية المواطنين وحقوقهم من الشركات والجهات الحكومية، لا تقدر بثمن لأشخاص مثلي ممن يوجهون أصابع الاتهام إلى الجناة مثل الدولة الروسية دون دعم من حكومات أو مؤسسات قوية.
سألني عدة أشخاص ما إذا كنت قلقًا بشأن ما سيفعله المهاجمون بالرسائل التي نسخوها من حسابي. ومن الخطوات المتوقعة التالية أن تُستخدم الرسائل المسروقة في هجوم من نوع “الاختراق-التزوير-النشر”، حيث يُمرر القراصنة المحتوى إلى وكلاء روسيا أو مؤيديها في الغرب ليقوموا بنشرها على أنها “تسريب” يهدف إلى تشويه خصوم موسكو.
في عام 2023، عندما استُهدف البرلماني الاسكتلندي والناقد لروسيا ستيوارت ماكدونالد بطريقة مشابهة، لم يستغرق الأمر أكثر من 48 ساعة بعد إعلانه أنه تعرض للاختراق من قبل روسيا حتى تفاخر الناشط البريطاني كريغ موراي بأنه حصل على رسائل ماكدونالد.
عادةً ما يكون ما يسمى بالتسريب مزيجًا من رسائل وملفات حقيقية، وبعضها تم تعديله، وأخرى مختلقة تمامًا – بالإضافة في كثير من الأحيان إلى برامج ضارة وفيروسات لإصابة أي شخص فضولي بما يكفي لتنزيلها. الهدف يمكن أن يكون تشويه سمعتي وسمعة المؤسسات التي أعمل معها، من خلال تصويرنا كمحتالين، نازيين جدد، جواسيس، زناة، متعاطين للمخدرات أو مؤذين للحيوانات، أو جميع ما سبق. وهذا يعني أنه لا جدوى من القلق بشأن أي شيء محرج محتمل في رسائلي – فإذا لم يعثر القراصنة على ما يأملون، فإنهم سيختلقونه على أي حال.
في الوقت الحالي، يعمل المتصيدون وأبواق روسيا على وسائل التواصل الاجتماعي بنشاط على نشر نسختهم من القصة ومن أكون. هناك نمط ثابت حيث يستغرق الأمر 24 ساعة بعد حدوث شيء ما لتظهر روايتهم – وبعد ذلك تُعاد نفس الرواية تقريبًا حرفيًا في وسائل إعلام مختلفة وبمختلف اللغات. بعض الشخصيات الحقيقية في ملف روسيا أيضًا عبّروا عن فرحهم العارم بما وصفوه بالاختراق “المضحك”. لكن هذا لا يختلف كثيرًا عن الضجيج الخلفي المعتاد من الأكاذيب والإساءات التي يتوقعها شخص في مجالي.
ما هو أكثر أهمية في هذه الحالة هو عدد الأشخاص الآخرين حول العالم الذين قد يكونون معرضين لنفس الخطر الأمني دون أن يعرفوا بذلك. والآن بعد أن تم إثبات قوة هذه الأداة، يتوقع الباحثون في الأمن السيبراني استخدامها على نطاق أوسع بكثير. وهذا يعني أنها قد تُستغل ليس فقط ضد أشخاص لديهم خصومات مع روسيا مثلي، بل أيضًا ضد مستخدمين عاديين لا يرون أنفسهم معرضين للخطر – سواء في جرائم إلكترونية، أو تجسس منخفض المستوى، أو لتصفية حسابات شخصية.
في حالتي، بذل المهاجمون جهدًا ووقتًا وصبرًا استثنائيًا لبناء هذا الخداع. لأي سبب كان، قرروا أنني أستحق هذا العناء – أو ربما كانوا فقط محبطين بعد العديد من المحاولات الفاشلة على مدى سنوات عديدة.
لكن أي شخص ليس حذرًا بطبيعتي – ربما لأنه لا يعمل في مجال يستهدف بشكل روتيني – يمكن أن يقع ضحية لحملة خداع أقل تعقيدًا بكثير. كلنا نعرف أصدقاء وأقارب، خصوصًا كبار السن، وقعوا ضحية لعمليات احتيال بدت، بأثر رجعي، واضحة للغاية.
إذا كنت تعرف كيف، تحقق مما إذا كان قد تم إعداد مثل هذه الكلمة المرور على حسابك. وإذا كان لديك قلق، هناك خيارات مثل “برنامج الحماية المتقدمة من Google” الذي يمنع هذا النوع من الهجمات وبعض الأنواع الأخرى. لكن في جميع الأحوال، يجب على Google وشركات أخرى التأكد من أن خطر هذه الميزة في الحسابات أصبح مفهومًا على نطاق أوسع بين المستخدمين العاديين.
وعندما تنجح الهجمات، من المهم أيضًا أن يتحدث الناس عنها. من المفهوم أن الأفراد الذين يُخدعون بهذه الطريقة قد يترددون أحيانًا في مشاركة التفاصيل. أي شخص أقل صلابة مني قد يشعر بالإحراج – وربما ببعض الغباء – لأنه تم خداعه. لكن من الضروري مشاركة أكبر قدر ممكن. أمننا الجماعي أهم بكثير من إحراج شخص واحد.