عبر Gmail وWhatsApp: هجمات تصيّد رقمي تطال نشطاء ومسؤولين في محيط الملف الإيراني
17 يناير 2026
كشفت تحقيقات صحفية وتقنية عن حملة اختراق إلكترونية معقّدة استهدفت شخصيات بارزة وأكاديميين ومسؤولين وصحفيين في الشرق الأوسط وخارجه، عبر رسائل تصيّد احتيالي على تطبيق "واتساب"، في واحدة من أخطر حملات الاختراق المرتبطة بالسياق السياسي والأمني المحيط بإيران خلال الفترة الأخيرة.
وحسبما نقل موقع "تيك كرانش" المتخصص، بدأت خيوط القضية عندما نشر الناشط الإيراني المقيم في بريطانيا، ناريمان غريب، لقطات شاشة محجوبة جزئيًا لرسالة مشبوهة تلقاها عبر "واتساب"، تحتوي على رابط تصيّد إلكتروني. وحذّر غريب متابعيه من خطورة الضغط على الروابط غير الموثوقة، مؤكدًا أن الحملة تستهدف أشخاصًا منخرطين في أنشطة متعلقة بالشأن الإيراني، لا سيما مع الاحتجاجات الواسعة داخل البلاد.
سياق سياسي وأمني مشحون
وتأتي هذه الحملة في وقت تواجه فيه إيران أطول انقطاع وطني للإنترنت في تاريخها، بالتزامن مع احتجاجات شعبية واسعة وإجراءات أمنية مشددة. ومع تصاعد الصراع السيبراني بين إيران وخصومها الإقليميين والدوليين، تزايدت الشكوك حول طبيعة هذه الهجمات والجهات المحتملة التي تقف خلفها.
تعتبر هذه الحملات واحدة من أخطر حملات الاختراق المرتبطة بالسياق السياسي والأمني المحيط بإيران خلال الفترة الأخيرة
شارك "غريب" الرابط الكامل مع موقع "تيك كرانش"، ما أتاح للصحفيين والخبراء التقنيين تحليل الشيفرة البرمجية لصفحة التصيّد، إلى جانب مراجعة تقرير فني أعدّه بنفسه. وأظهرت التحليلات أن الحملة كانت تهدف إلى سرقة بيانات تسجيل الدخول إلى حسابات Gmail، والاستيلاء على حسابات WhatsApp، إضافة إلى تنفيذ عمليات مراقبة رقمية تشمل تحديد الموقع الجغرافي، والتقاط الصور، وتسجيل الصوت.
ضحايا من مستويات حساسة
وتمكّن المحققون من الوصول إلى خادم المهاجمين، الذي تُرك مكشوفًا دون حماية بكلمة مرور، ما أتاح الاطلاع على بيانات الضحايا لحظة بلحظة. وكشفت هذه البيانات عن عشرات الضحايا الذين أدخلوا معلوماتهم الشخصية دون علمهم، بينهم أكاديمي متخصص في الأمن القومي بالشرق الأوسط، ومدير شركة إسرائيلية لصناعة الطائرات المسيّرة، ووزير لبناني رفيع المستوى، وصحفيون، إلى جانب مستخدمين داخل الولايات المتحدة أو يحملون أرقامًا أميركية.
وأكد "تيك كرانش" أنه نشر نتائجه بعد التحقق من صحة معظم ما ورد في تقرير "غريب"، مشيرًا إلى أن موقع التصيّد أُغلق لاحقًا، دون وضوح ما إذا كان ذلك بقرار من المهاجمين أو بعد تدخل الجهة المستضيفة.
كيف نُفذت الهجمات؟
اعتمد المهاجمون على خدمة DNS ديناميكية تُدعى DuckDNS لإخفاء الموقع الحقيقي لصفحات التصيّد، وإظهار الروابط بمظهر موثوق. أما الاستضافة الفعلية فكانت على نطاق إلكتروني مسجّل حديثًا في تشرين الثاني/نوفمبر 2025، إلى جانب نطاقات أخرى تحمل نمطًا مشابهًا يوحي باستهداف منصات اجتماعات افتراضية وخدمات مراسلة متعددة.
وعند الضغط على الرابط، كان الضحية يُوجَّه إما إلى صفحة تسجيل دخول مزيفة لـ Gmail أو إلى طلب إدخال رقم الهاتف، ضمن سلسلة تهدف إلى سرقة كلمة المرور ورمز التحقق الثنائي. وبسبب خلل تقني، تمكّن الصحفيون من الاطلاع على ملف يحتوي على أكثر من 850 سجلًا لبيانات أدخلها الضحايا، بما في ذلك كلمات المرور، ومحاولات إدخال رموز التحقق، ونوع الجهاز ونظام التشغيل.
الاستيلاء على WhatsApp والمراقبة المباشرة
إحدى أخطر أدوات الهجوم تمثلت في استغلال ميزة ربط الأجهزة في "واتساب"، عبر عرض رمز QR مزيف يُقنع الضحية بمسحه، ما يؤدي فورًا إلى ربط حسابه بجهاز يتحكم فيه المهاجم، ومنحه وصولًا كاملًا إلى المحادثات والبيانات.
كما كشفت مراجعة الشيفرة البرمجية أن الصفحة تطلب أذونات للوصول إلى الموقع الجغرافي والكاميرا والميكروفون. وفي حال الموافقة، كان الموقع يُرسل إحداثيات الضحية بشكل مستمر، ويتيح التقاط صور وتسجيل مقاطع صوتية كل بضع ثوانٍ، رغم عدم العثور على أدلة تؤكد تخزين هذه البيانات فعليًا.
من يقف خلف الحملة؟
لا تزال هوية الجهة المنفذة غامضة. لكن خبراء أمنيين أشاروا إلى أن الهجوم يحمل سمات حملات "التصيّد الموجّه" المرتبطة بالحرس الثوري الإيراني، نظرًا لطبيعة الأهداف، والتوقيت، واستخدام منصات تواصل شائعة، وأساليب الهندسة الاجتماعية.
في المقابل، رجّح باحثون آخرون أن تكون الحملة ذات دوافع مالية، مستندين إلى البنية التحتية المستخدمة وتاريخ تسجيل النطاقات. إلا أن السعي لجمع بيانات الموقع والصوت والصورة يُعد غير مألوف في الجرائم الإلكترونية المالية البحتة، ما يعزز فرضية التجسس. ويشير خبراء إلى احتمال تداخل المسارين، خاصة أن إيران "وفق قولهم" سبق أن استعانت بمجموعات قرصنة إجرامية لتنفيذ هجمات بالوكالة، في محاولة لإخفاء تورطها المباشر.
وخلص الخبراء إلى أن هذه الحملة، رغم محدودية عدد ضحاياها المعروفين، تُبرز مستوى متقدمًا من التهديدات الرقمية التي تستهدف أفرادًا بعينهم في سياقات سياسية حساسة. ويؤكد مختصو الأمن السيبراني أن الضغط على روابط "واتساب" غير المتوقعة، مهما بدت مقنعة، يظل ممارسة عالية الخطورة، خصوصًا للصحفيين والناشطين والمسؤولين.
