تلقت مجموعة كبيرة من اللبنانيين وعلى مدى أكثر من أسبوع، رسائل نصية على هواتفهم، تحمل رموزاً أو كودات أو أرقام، مصدرها شركات وتطبيقات على مواقع التواصل الاجتماعي، ترتبط بحسابات يستخدمون فيها خطوات المصادقة الثنائية أو ما يعرف بـ "Two-factor authentication" مما أثار لديهم قلقاً بالغاً من محاولات قرصنة تستهدف حساباتهم، لاسيما أن تلك الرموز وصلتهم دون أن يقوموا هم بطلبها، كما يفترض بالعادة.
اللافت في هذا الأمر أن أبرز المشتكين كانوا من الصحفيين والنشطاء في لبنان، الذين بدؤوا بالاستفسار عن هذه الحالات بشكل فردي ليكتشفوا أن عددا كبيرا من زملائهم تلقوا الرسائل ذاتها في نفس التوقيت، في الساعة الخامسة صباحا أو الثانية عشر والنصف ظهرا. وبلغ الأمر ذروته بتاريخ 20 يناير الحالي، لتسجل موجة رسائل لاحقة بعد ثلاثة أيام.
رنا نجار، صحفية لبنانية كانت من بين الذين تلقوا هذه الرسائل واستفسرت عنها عبر مجموعة على تطبيق "واتساب" تضم عددا من الصحفيين اللبنانيين، ليتبين لها أنها لم تكن الوحيدة وأن عددا من زملائها تلقوا الرسائل في الوقت ذاته.
وتقول في حديثها لموقع الحرة: "عادة كانت تصلني هذه الكودات إذا كنت أحاول فتح حسابي أو بريدي الإلكتروني من هاتف أو لابتوب جديد لأول مرة، أو حين يحاول أحد ما اختراق الحساب والدخول إليه أو تغيير كلمة السر أو إجراء تغييرات في معلومات الحساب، لكن أيا من ذلك لم يكن قد حصل".
وتضيف الصحفية اللبنانية "في الوقت ذاته كنت قبل ذلك قد وضعت جهازي المحمول في الصيانة، وبالتالي ظننت أن محاولة فتح الحساب تمت خلال عملية الصيانة، إلا أنني وبعد الاستفسار تبين أن ذلك لم يحصل أيضا، إلى أن سألت مجموعة الزملاء عما حصل وتبين أنني لم أكن الوحيدة".
مصدر قلق مشروع
تسبب الأمر بقلق لدى رنا كما هو حال معظم من وصلتهم هذه الرسائل، وتتابع "خفت من أن تكون هناك جهة تحاول اختراق حساباتي، لاسيما وأنني تلقيت كودات أخرى بعد يومين ثم تكرر الأمر بعد يومين أيضا، وخشيت من أن تكون محاولات الاختراق متعلقة بعملي الصحفي أو آرائي التي أعبر عنها في بعض الأحيان على مواقع التواصل الاجتماعي".
يقول المسؤول الإعلامي في "مركز الدفاع عن الحريات الإعلامية والثقافية" (سكايز)، جاد شحرور: "بالنسبة إلينا كمؤسسة حقوقية لفت نظرنا إلى أن أكثر من صحفي لبناني في أقل من ٢٤ ساعة أبلغ عن تلقي رسائل وإشعارات بكودات مرتبطة بأداة التحقق الثنائي لحساباتهم على أكثر من تطبيق".
واستدرك "ولكن في الوقت ذاته، فقد سجلت هذه الحالات لدى أكثر من شخص من خارج المجال الصحفي، ما قد يضع أيضا فرضية أن هذه الاستهدافات عشوائية ولا تتمحور فقط حول الصحفيين والناشطين، أو أنها أخطاء من الشركات".
وتنوعت مصادر الرسائل التي وصلت إلى الهواتف، من "غوغل" و"واتسآب" و"مايكروسوفت" فضلا عن "AUTHMSG"، وهي خدمة تقدمها شركة "Twilio" الأميركية للاتصالات، لتمكين التطبيقات والشركات والأفراد من تفعيل المصادقات الثنائية ورموز الحماية والأمان، لتأمين حساباتهم من الاختراق، وهذه الخدمة تستخدمها تطبيقات عدة في حين أن كافة الرموز والكودات تصل باسم "AUTHMSG" إلى هواتف المستخدمين.
منظمة "سمكس" المختصة بالحقوق والحماية الرقمية، ومركزها في بيروت، رصدت هذا الأمر في تقرير نشرته على موقعها، كشفت عبره أن فريقها تلقى في الأيام الماضية عددا كبيرا من الرسائل القصيرة التي وصلت إلى مستخدمين من مصدر يحمل اسم "AUTHMSG"، مضيفة أنه "مؤخرا، بدأت تصل هذه الرسائل إلى عدد متزايد من الأشخاص، ما يُعتبر مصدر قلق مشروع".
وفي هذا السياق يكشف مدير المحتوى الرقمي في منظمة "سمكس"، عبد قطايا، أن مطابقة الحالات التي وصلت شكاوى واستفسارات بشأنها تظهر تزامنا في توقيت وصول هذه الرسائل، عند الخامسة صباحا والثانية عشر والنصف ظهراً بتوقيت بيروت، حيث وصل للجميع نفس الرسائل بالرموز والكودات".
تصيد عشوائي
وكانت معظم تلك الرسائل متشابهة في الأسلوب وتختلف بالعناوين المرسلة منها، بحسب قطايا الذي لفت في حديثه مه موقع الحرة إلى أن "جهات مجهولة تنتحل اسم AUTHMSG أو غوغل أو واتسآب، وترسل هذه الكودات كنوع من التصيد العشوائي بحيث يأملون أن نسبة معينة ممن ستصلهم هذه الكودات سيقومون باستخدامها في التطبيقات التي وصلتهم الرسائل المزيفة باسمها".
ونوه إلى أن "هذه الكودات، في حال استخدامها، ستمنح المقرصنين إذن الدخول إلى حسابات التطبيقات والبريد الإلكتروني، وبإمكانهم حينها التحكم بالحسابات بكونهم يملكون الرمز".
وقالت المنظمة في تقريرها الموجّه للمستخدمين ومتلقي الرسائل "ليس بالضرورة أن تكونوا الهدف المباشر لمحاولات تسجيل الدخول هذه، إذ أنها على الأرجح حملة واسعة النطاق لإرسال رسائل عشوائية، تقوم ببث هذه الرسائل إلى مجموعة من أرقام الهواتف/الحسابات على الخدمة التي تتلقون منها هذه الرسائل المتكررة باستمرار".
في الوقت ذاته، حذر قطايا من أنه في أحيان أخرى يعود المقرصنون بعد فترة للتواصل مع المستَهدَفين بالرسائل، "حيث يطلبون منهم بطرق احتيالية الحصول على الكود الذي وصلهم، إما بداعي تأمين الحسابات من الاختراق، أو يدعون بأنهم أخطؤوا بوضع رقم الهاتف لحساباتهم فيطلبون الحصول على الرمز، وذلك من أجل سرقة الحسابات والدخول إليها".
هذه الظاهرة، وإن رصدت اليوم في لبنان، وفق قطايا، إلا أنها ظاهرة عالمية دائما ما تحصل وتستهدف مستخدمين من دول عدة وفي أوقات متفاوتة ومختلفة، "حصلت من قبل في أكثر من دولة كالولايات المتحدة وفرنسا، ولكن حديثا حتى الآن لم تصل شكاوى إلينا إلا من لبنان".
يطمئن تقرير المنظمة إلى أنه "لا داع للقلق ما لم يتمّ اختراق مزوِّد خدمة النظام العالمي لاتصالات الهواتف المحمولة واعتراض رسائل التحقّق النصية هذه. فغالباً ما يعني تلقّي عددٍ كبيرٍ من هذه الرسائل أنها ناجمة عن هجوم عشوائي".
وترجح "سمكس" أن تكون هذه محاولات لإرهاق البنية التحتية لنظام الـ" SMS" من أجل اختبار خدمة الرسائل القصيرة وإمكانية تعطيلها، أو لتحديد كيفية تعامل هذه الخدمات مع الهجوم ومعرفة سلوكها في هذه الحالة. وبما أن هذه الهجمات تقوم على إرسال عشوائي على نطاق واسع، قد يعني ذلك أيضا أنها لعبة تخمين، (قد) تفشل أو تنجح".
هذه العملية قد تمنح الجهة التي تقف خلفها أيضا تصورا عن إمكانية تنفيذ استهدافات مختلفة أخرى في أوقات لاحقة، بحسب قطايا، "أي دراسة نسبة تجاوب المستخدمين مع هذه الروابط لدراسة سلوكهم وتصور مدى إمكانية التعمق باستهدافهم والنسبة المتوقعة للأشخاص الذين يتجاوبون مع هذه الرسائل ويستخدمون الروابط من أصل عموم المستهدفين".
لبنان "مكشوف تماماً"
يزيد من قلق رنا مقاربة السلطات اللبنانية لقضايا الأمن الإلكتروني وتعاملها مع بيانات المستخدمين، وقالت: "في لبنان نحن غير محميين على صعيد الأمن الرقمي لا كمواطنين ولا كصحفيين، منصات ومواقع الوزارات تتعرض باستمرار لخروقات وقرصنة وتسرب بيانات، تجعلنا في خطر دائم على صعيد الأمن السيبراني".
بدوره، لا يغيب شحرور احتمالية أن يكون هناك استهداف منظم للصحفيين والنشطاء في بلد كلبنان، ويستذكر في هذا السياق واقعة "دارك كاراكال" التي جرى الكشف عنها عام 2018، من خلال تحقيق أعد بالشراكة بين شركة "لوك آوت" المتخصصة في أمن الهواتف المحمولة ومؤسسة "إلكترونك فرونتير" المعنية بالحقوق الرقمية.
وكشف التحقيق حينها أن جهاز الأمن العام اللبناني حوّل الهواتف الذكية لآلاف الأشخاص المستهدفين، في أكثر من 21 بلدا، إلى أجهزة تجسس عبر الانترنت، وهو ما اعتبر من أول الأمثلة المعروفة عن اختراق واسع النطاق تقوم به دولة لهواتف محمولة.
ويرى شحرور أن تلك الواقعة تمثل نموذجا ماثلا عن استهدافات قرصنة منظمة في لبنان، ومن بعدها لم يعد شيئا مستبعدا وكل الاحتمالات مفتوحة.
ويتابع "لكن وبغض النظر عما إذا كان هناك استهداف لفئات محددة كالصحفيين أو النشطاء، فإن واقع الأمن الإلكتروني في لبنان معدوم، وفكرة حماية البيانات الشخصية وخصوصية المستخدمين أيضا معدومة، ويظهر ذلك في معظم التطبيقات التي أطلقتها الحكومة اللبنانية في أكثر من مرحلة، ولاسيما في فترة انتشار فيروس كورونا والمنصات المرتبطة بـ 'impact'، حين وصل الأمر إلى حد التنازع السياسي على مكان وجود الخوادم الخاصة بهذه المنصات، وانتهى الأمر بأن الخوادم باتت في ألمانيا وليس في لبنان".
وكانت قد أثارت منصات أطلقتها وزارات عدة في لبنان إبان جائحة كوفيد- 19 جدلا حول مدى حماية وتحصين بيانات المستخدمين وإتاحتها أمام العموم، في حين واجهت مواقع رسمية عدة مشاكل تتعلق بسياسات الحماية والخصوصية.
الخرق في أرقام الهواتف
يلفت شحرور أيضا إلى وجود مشكلة في إباحة الاتصالات اللبنانية وبيانات الأرقام أمام شركات الإعلانات مؤخرا، التي "ترسل الرسائل النصية بشكل عشوائي لدعايات وإعلانات غير مرغوبة في معظم الأحيان، وهذا خرق للخصوصية بكونه لا يتم بناء على إذن مسبق من المستخدم لتلقي هذه الرسائل".
ومن المرجح أن تكون هجمات التصيد التي يشهدها لبنان مؤخرا تعتمد على بيانات لأرقام هواتف لبنانيين مسربة بطريقة ما، وذلك بكون أسلوب الاستهداف يرتكز على إرسال رسائل نصية مباشرة على أرقام الهواتف ، وليس عبر البريد الإلكتروني أو من خلال التطبيقات ذاتها.
وفي هذا السياق يرى قطايا أنه يجب التنبه لما يحصل من تسريب بيانات حول العالم للمشتركين في خدمات متنوعة، "منذ فترة حصل تسريب بيانات لدى شركة تويتر على سبيل المثال، لأرقام هواتف المستخدمين وبريدهم الإلكتروني، وهذه المعلومات المسربة عادة ما تعرض للبيع على الدارك ويب، حيث تستفيد منها جهات عدة، وبعضهم يستخدمها في شن هجمات مشابهة لما يحصل الآن.
ويلفت إلى أن "المشكلة أن هذه الكودات والرموز تصل على الهواتف في نفس صفحات الرسائل النصية التي تصل عليها من قبل الكودات الحقيقية ومن نفس جهات الاتصال، وهنا يحصل الاختلاط على المستخدم وقد يقع في الفخ، فمثلا الكثير من الشركات ترسل تحت مسمى AUTHMSG ويصبح من الصعب التمييز بين الكود الحقيقي أو عمليات الخداع".
توصيات ونصائح
وفي سبيل تجنب الوقوع في فخ هذا النوع من الاستهدافات وعمليات التصيد، نشرت "سمكس" مجموعة توصيات لمن وصلتهم الرسائل والكودات.
أهم توصية تكمن في تجاهل الرسائل الواردة من "AUTHMSG" إلا في حال كان المستخدم قد قدم للتو طلبا للحصول على رمز التحقق.
ونبهت المنظمة من إرسال هذه الرموز لأيّ شخص على الإطلاق، مهما بلغت درجة الثقة به، حيث من الممكن أن يكون هاتفه أيضا عرضة للاختراق.
كذلك ينصح في هذه الحالات أن يتم تغيير كلمة المرور المرتبطة بالحسابات الشخصية والبريد الإلكتروني بشكل متكرر كل شهر أو بضعة أشهر، حيث توصي "سمكس" باختيار كلمات مرور قوية بواسطة تطبيقات إدارة كلمات المرور المشفرة.
كذلك نصحت بتفعيل ميزة المصادقة الثنائية على كافة الحسابات، خاصة تلك التي تتلقى رسائل الرموز، وأوصت باعتماد تقنية المصادقة متعدّدة العوامل (Multi-factor authentication) التي تقوم على تأكيدات عدة قبل السماح بالدخول إلى الحسابات.
