تل ابيب-ترجمة : واثق نيوز-كشفت شركة الأمن السيبراني الإسرائيلية "غارديو" أن نظام البريد الإلكتروني لشركة "سيلكوم-نتفيجن" استُخدم لنشر رسائل خبيثة تنتحل صفة مكاتب حكومية وشرطة وبنوك ومؤسسات عامة. وتلقى آلاف المواطنين رسائل بريد إلكتروني "رسمية" تحتوي على برامج ضارة، متجاوزين بذلك جميع إجراءات الحماية. "سيلكوم": "تم إصلاح الثغرات بسرعة".
وقد استُخدم أحدها بالفعل في حملة تصيد احتيالي متطورة انتحلت فيها صفة سلطات حكومية، وصُممت لإصابة أجهزة الكمبيوتر ببرامج ضارة للتحكم عن بُعد. في الواقع، استخدم المهاجمون خوادم "Cellcom-Netvision" كخادم بريد إلكتروني خاص لهجماتهم. من جانبها، تزعم Cellcom أنها تحركت بسرعة وأصلحت الثغرات.
وحسب صحيفة يديعوت احرنوت على موقعها الاخباري " واي نت"، فإن إحدى هذه الثغرات، المُعرّفة بـ"الترحيل المفتوح" - وهو مصطلح تقني يعني "بابًا خلفيًا مفتوحًا على مصراعيه" في خادم البريد - استُغلت عمليًا من قِبل جهات معادية ومؤيدة للفلسطينيين. شنّ المهاجمون حملة تصيد احتيالي واسعة النطاق باستخدام خوادم Netvision لانتحال هوية جهات حكومية إسرائيلية، باستخدام عنوان المُرسِل الرسمي والموثوق gov.il.
ونتيجةً لذلك، تلقى آلاف المواطنين الإسرائيليين رسائل بريد إلكتروني تبدو بريئة، زعمت أنها إشعارات بفتح ملفات تحقيقات للشرطة أو مطالبات بسداد ديون لمصلحة الضرائب. كان مرفقًا بالرسائل ملفٌّ، عند فتحه، يُصيب جهاز الكمبيوتر ببرمجية خبيثة تُمكّن المهاجمين من التحكم به عن بُعد. نشأ الخطر الحقيقي من أن هذه الرسائل الإلكترونية بدت شرعية تمامًا، إذ لم تُرصدها أنظمة الأمن، ولم تُصنّف على أنها "رسائل غير مرغوب فيها"، بل وصلت مباشرةً إلى صناديق بريد الضحايا.
ويوضح ناتي تال، مدير مجموعة الأبحاث في شركة "غوارديو"، التي كشفت عن الاختراقات: "تمكنا بسهولة من إعادة إنشاء رسائل بريد إلكتروني مزيفة تُشبه تمامًا رسائل البريد الإلكتروني الرسمية من شركة سيلكوم، وميناء أشدود، وبلدية نتانيا، وسلسلة فنادق إزروتيل، وبنك هبوعليم، وغيرها". ويضيف: "اجتازت الرسائل جميع فحوصات الأمان ووصلت إلى وجهتها مباشرةً. وهذا وضع يُتيح شن هجمات متطورة للغاية، يصعب التصدي لها".
إلى جانب الثغرة المُستغلة، كشف باحثو Guardio عن ثغرتين إضافيتين، وإن لم يُكتشف استغلالهما، إلا أنهما كان من الممكن أن تُسببا ضررًا أخطر. كانت الثغرة الأولى تسمح بانتحال كامل لنطاقات عملاء Cellcom التجاريين، متجاوزةً آليات مصادقة البريد الإلكتروني المتقدمة (مثل SPF وDMARC)، والتي تتمثل وظيفتها الوحيدة في التحقق من أن البريد الإلكتروني صادر بالفعل من المصدر المُعلن.
وثغرة الأمن الثانية والأخطر على الإطلاق سمحت بإرسال رسائل بريد إلكتروني مجهولة الهوية تمامًا، دون الحاجة إلى تحديد هوية المستخدم أو كلمة المرور، نيابةً عن عملاء شركة Cellcom ونطاقات أخرى. المعنى بسيط: يمكن للمهاجم توزيع رسائل بريد إلكتروني نيابةً عن البنوك أو شركات التأمين أو الوزارات الحكومية أو أي علامة تجارية معروفة أخرى، بهدف ارتكاب احتيال مالي، أو سرقة كلمات المرور ومعلومات الائتمان، أو السيطرة على أنظمة الكمبيوتر والهواتف الذكية وأجهزة الكمبيوتر الشخصية. إن فكرة انتحال المهاجم شخصية رئيس تنفيذي وإرساله تعليمات مالية إلى مديره المالي ليست غير منطقية على الإطلاق في مثل هذه الحالة.
