• مدونة

عملية كينغفيش: الكشف عن حملة هجمات إلكترونية ضد المجتمع المدني في قطر ونيبال

شهد العام 2016، ولا سيما الأشهر الأخيرة منه، ورود رسائل عبر البريد الإلكتروني ووسائل التواصل الاجتماعي إلى عدد من الأفراد المعروفين لدى منظمة العفو الدولية. وكانت مرسلة هذه الرسائل امرأة تُدعى ”صافينا مالك“، قدمت نفسها على أنها ناشطة متحمسة ومهتمة بحقوق الإنسان بشكل كبير. واتضح أنه ثمة تحت غطاء ذلك حملة استدراج مدروسة بعناية تتضمن هجمات تصيد إلكتروني بهدف سرقة الهوية الإلكترونية لأصحاب الحسابات، والتجسس على نشاط عدد من الصحفيين، والمدافعين عن حقوق الإنسان، والنقابيين، والناشطين العماليين. ويظهر أن غالبية هؤلاء كان لهم دور في إثارة قضية حقوق العمال الأجانب في قطر ونيبال. ولم يظهر بناء على تحقيقاتنا في هذه الهجمات الإلكترونية أية أدلة تثبت بشكل قطعي وقوف حكومة بعينها ورائها، وإن كنا نشتبه في أن تكون الهجمات من تصميم وتنفيذ جهة مرتبطة بإحدى الدول. ونشير إلى هذه الحملة والجهة المرتبطة بها باسم “عملية كينغ فيش“.

وتجدر الإشارة إلى أن منظمة العفو الدولية قد نشرت في ديسمبر/ كانون الأول 2016 تحقيقاً في حملة أخرى من حملات الاستدراج الموجه نفذتها منظمة وهمية تُعنى بحقوق الإنسان، وأطلقت على نفسها اسم “الضحايا الصامتون”. واستهدفت هذه المنظمة الوهمية المنظمات الدولية المعنية بحقوق الإنسان والعمال التي تنشط في متابعة قضية حقوق العمال الأجانب في قطر.

حقوق العمال الأجانب في قطر 

يشكل العمال الأجانب، وغالبيتهم من بلدان جنوب آسيا، أكثر من 90% من مجموع القوى العاملة في قطر، ويُعتبر العمال النيباليون أكبر شريحة في هذه الفئة. ولطالما حظيت قضية استغلال العمال الأجانب في قطر، وخصوصاً العاملين منهم في قطاع الإنشاء والتشييد، بتغطية واسعة منذ أن مُنحت قطر حق تنظيم بطولة كأس العالم لكرة القدم 2022. ووُجهت الانتقادات على نطاق واسع لنظام الكفالة الذي يقيد العمال الأجانب بأرباب عملهم، وذلك بوصفه المحرك الرئيسي للاستغلال.

ووفق ما ورد في تقارير منظمة العفو الدولية، لم تكن التغيرات التي أُدخلت مؤخراً على نظام العمل الخاص بالعمال الأجانب في قطر على قدر الطموح، وعالجت المشكلة بشكل سطحي، وتُرك العمال الأجانب، بما في ذلك الذين يعلمون منهم في مشاريع بناء الملاعب ومرافق البنية التحتية التي ستستضيف بطولة كأس العالم، تحت رحمة أرباب العمل الانتهازيين، وتعرض حقوقهم لانتهاكات خطيرة، بما في ذلك العمل القسري. ولا يزال العامل بحاجة إلى استصدار ”شهادة الخروج“ من أجل مغادرة البلاد، وبوسع رب العمل أن يعطل صدورها، وأصبح بمقدوره الآن أن يحتفظ بشكل قانوني بجواز سفر العامل، وذلك بموجب ثغرة جديدة يسهل على أرباب العمل استغلالها دون عناء.

حملة ”صافينا مالك“ للتصيّد الإلكتروني

 

ملاحظة: عمدنا إلى حذف أجزاء من التقرير الحالي حسب الضرورة، ولا سيما فيما يخص الأسماء وعناوين البريد الإلكتروني العائدة للأفراد والمنظمات المستهدفة، وذلك حمايةً لهويات أصحابها وضمانا لسلامتهم. وتعمدنا أيضاً إخفاء الصور التي استخدمها المهاجمون في ملفات حساباتهم على مواقع التواصل الاجتماعي، وذلك مراعاة لاحتمال أن تكون هذه الصور قد سُرقت أيضا، وأن أصحابها لا علاقة لهم بهذه الهجمات الإلكترونية.

وأظهر التحقيق الذي أجريناه قيام مهاجمين مجهولين بتعمد اختلاق وإدامة شخصية وهمية على الإنترنت تُدعى ”صافينا مالك“ تتولى إجراء حوارات ودردشات مع أهداف منتقاة، وفي أوقات مختلفة تحت واجهات متغيرة ترمي إلى إغراء المستهدفين وحملهم على الإفصاح عن معلوماتهم وهوياتهم المتعلقة بحسابات البريد الإلكتروني عبر غوغل (Gmail)، وذلك من خلال استخدام هجمات التصيد الإلكتروني بحقهم.

ويُعد التصيد الإلكتروني (Phishing) من أساليب القرصنة الإلكترونية تقوم على تقليد مواقع خدمات مشهورة على الإنترنت (مثل مواقع غوغل، وفيسبوك، وتويتر، ولينكد إن) واستنساخ صفحات الدخول الخاصة بها بشكل يوهم بأنها حقيقية، وذلك من أجل سرقة اسم المستخدم وكلمة المرور الخاصة بالضحايا المستهدفين، من خلال خداعهم بضرورة معاودة توثيق معلومات الدخول عبر تلك الصفحات المزيفة.

ويُعتبر هذا النوع من الهجمات الإلكترونية شائعاً جداً لا سيما بحق أعضاء المجتمع المدني على وجه الخصوص، ومن السهل شن مثل هذه الهجمات، وبتكلفة زهيدة، وبمقدورها إذا نجحت في مسعاها أن تمنح المهاجمين حق الولوج إلى حسابات البريد الإلكتروني الشخصية والمهنية للضحايا، وهو ما يهدد بديهياً بالكشف عن معلومات حساسة جداً. وعلى سبيل المثال، فقد تقود سرقة حساب البريد الإلكتروني الخاص بأحد الناشطين إلى إعادة تشكيل شبكاتهم، وكشف هويات مصادرهم، وإساءة استخدامها لأغراض انتحال الشخصية إلكترونياً. ومن المرجح من الناحية العددية أن يفوق عدد هجمات التصيد الإلكتروني عدد الهجمات باستخدام البرمجيات الخبيثة على سبيل المثال.

وغالباً ما تتم هجمات التصيد الإلكتروني عن طريق رسائل بالبريد الإلكتروني تلتمس من الشخص المستهدف أن يقوم بزيارة رابط أو الدخول إلى صفحة تشبه صفحة محرك البحث ”غوغل“ كما حصل في هذه الحالة. وقد تتفاوت الاستراتيجيات المستخدمة في إضفاء صبغة المصداقية على هذا الالتماس، وغالبا ما يرد في الرسالة معلومة لتضليل الضحية، وإيهامها بتعرض الحساب الخاص للقرصنة، وضرورة إعادة ضبط كلمة المرور الخاصة به.

ويوجد ”لصافينا مالك“ حضور كامل ونشط عبر مواقع التواصل الاجتماعي، ولكن يظهر أن حسابها على تويتر، والمنشأ بتاريخ 23 ديسمبر/ كانون الأول 2014، لا يحتوي إلا على عبارة ”مرحبا“ فقط. ونعتقد أنه من الوارد أن يكون القائمون على ”عملية كينغ فيش“ قد استحوذوا على مجموعة مسجلة مسبقاً من ملفات الحسابات، أو أنهم قد قاموا بسرقتها. وثمة نمط واضح تسلكه المدعوة ”صافينا مالك“ فيما يتعلق بالحسابات التي تتابعها على الشبكة، وهي حسابات تعود إلى عدد كبير من الصحفيين العاملين في الشرق الأوسط لصالح صحف ومجلات دولية، وموظفي المنظمات الدولية المعنية بحقوق الإنسان والنقابات المهنية، ومختلف الحملات التي تدعم حقوق العمال الأجانب في قطر.

 

ويظهر أن نشاط ”صافينا مالك“ عبر حساب فيسبوك أكبر من غيره من الحسابات في المواقع الأخرى، فيما يتضمن ملف حسابها عبر موقع ”لينكد إن“ أكثر من 500 رابط (إضافة أكثر من 500 شخص). ويظهر أن حسابها على موقع ”لينكد إن“ قد تمت سرقته من شخص آخر لا علاقة له بالهجمات الإلكترونية.

وتواصل القائمون على هذه الحسابات بشكل منتظم مع عدد من الضحايا الذين أشرنا إليهم، واستمر التواصل معهم عدة أشهر في بعض الأحيان. ويظهر أن المهاجمين قد انتحلوا شخصية شابة حقيقية، وسرقوا صورها كي ينشئوا ملف حساب مزيف باسمها، وتمتلك سيرة مهنية مسروقة من شخص آخر. وعادة ما يتربط توقيت إرسال المدعوة صافينا للرسائل بالبريد الإلكتروني بموعد شن هجمة تصيد إلكتروني أو بمجرد اقتراب موعد الهجوم.

الحالة 1: صفحة غوغل المزيفة، ونظيرتها الأصلية

على سبيل المثال، حاولت ”صافينا“ في الحوار الوارد أدناه أن تغري الهدف من خلال الزعم بأنها تحتاج إلى مساعدة في إجراء بحوث هامة بشأن الاتجار بالبشر.

وفي سياق المراسلات عبر البريد الإلكتروني، قامت المهاجمة ”صافينا“ بإرسال ما يظهر أنها دعوات للولوج إلى الوثائق على تطبيق ”غوغل درايف“.

 

 

وسوف تتكفل الروابط والأزرار الواردة في رسائل البريد الإلكتروني بتوجيه الضحية إلى صفحة تظهر على الشكل الوارد أدناه تقريباً:

.ملاحظة: تم تمويه صورة ملف صاحب الحساب حمايةً لشخصه.

وصُممت الصفحة المزيفة بحيث تحاكي تماماً صفحة الدخول الأصلية إلى موقع غوغل، وبدرجة عالية من الدقة. وعلى النقيض من بعض صفحات التصيد الشائعة التي لا توفر سوى نموذجاً فارغاً لإدراج عنوان البريد الإلكتروني وكلمة السر، فلقد صُممت هذه الصفحة بما يتيح لها أن تعرض الصورة التي يضعها صاحب الملف، واسم الحساب، وعنوان البريد الإلكتروني الخاص بالضحية. ولقد تم إخفاء الاسم والعنوان لحماية خصوصية الضحية في هذه الحالة.

ويستنسخ هذا التصميم الصفحة الحقيقية للدخول إلى غوغل، وتعرض نفس المعلومات فيما لو دخلت إلى الموقع من خلال حسابك. ولقد حرص المهاجمون على مراعاة أدق التفاصيل لجعل صفحتهم لتصيد الضحايا أقرب ما تكون إلى الصفحة الأصلية.

ومما يثير الاهتمام أنه عندما يقوم الضحايا بإدخال المعلومات المطلوبة للولوج إلى حسابتهم عبر غوغل، يتم توجيههم إلى وثيقة صحيحة رُفعت على محرك غوغل، وبما يوحي بسير الأمور كالمعتاد عند تصفح الشبكة، وذلك دفعاً لأية ريبة أو شك. ووفق ما يظهر في المثال أدناه، كان من المزمع أن يتم توجيه الضحية إلى ملف بنسق باوربوينت يتضمن محاضرة عن الاتجار بالبشر. وتمكنت منظمة العفو الدولية من تحديد المصدر الذي تمت سرقة المحاضرة منه.

الحالة 2: تكوين الصداقات وزيادة عدد الارتباطات

كان الاتحاد الدولي لنقابات العمال من بين الجهات التي تم استهدافها في هذه الحملة مؤخراً. ويقع مقر الاتحاد في بروكسل، ويُعد من بين أكبر اتحادات النقابات العمالية في العالم بعدد أعضائه البالغ أكثر من 170 مليوناً. واتسم الاتحاد الدولي لنقابات العمال بكونه من أكثر الجهات التي تصدت في السنوات الأخيرة لموضوع حقوق العمال الأجانب في قطر، ويقف الاتحاد وراء حملة ”أعيدوا التصويت“ التي تعارض منح قطر حق استضافة بطولة كأس العالم لكرة القدم 2022.

ويظهر من وحي الهجمات التي استهدفت الاتحاد الدولي لنقابات العمال وغيره من الجهات أن المهاجمين آثروا مخاطبة أهداف منتقاة عبر وسائل التواصل الاجتماعي، ولا سيما من خلال موقع فيسبوك، ودردشوا مع أصحابها بين الفينة والأخرى، وعلى مدار عدة أشهر في بعض الأحيان. واكتفى المهاجمون المشرفون على ملف الحساب الوهمي بدردشة عابرة عادية في بعض الأحيان، ولجأوا إلى شن الهجوم مباشرة في أحيان أخرى. وبغية التمكن من التعرف على هوية الأهداف وتحفيزهم على المشاركة في الحديث والدردشة، فقد نجحت المدعوة ”صافينا مالك“ في أن تجد مكاناً لها بين افراد مجموعات عدة على موقع فيسبوك تبدي اهتماما بشؤون العمال الأجانب، والعمل القسري.

وعلى نحو مشابه للمحاولات التي ورد وصفها أعلاه، فقد طلب المهاجمون في هذه الحالات وغيرها من المناسبات من الأهداف أن يقوموا بفتح ملف وثيقة يظهر أنها مرفوعة على غوغل درايف، وبزعم أنها تتعلق هذه المرة بضلوع أمير قطر بتمويل تنظيم ”الدولة الإسلامية“، ويظهر أن الوثيقة منسوخة من موقع إلكتروني معارض لقطر.

وبمجرد أن يقوم الهدف بتزويد صافينا بالمعلومات عبر الصفحة الوهمية التي تحاكي صفحة الدخول إلى غوغل، يتم توجيهه مباشرة إلى وثيقة متوفرة مرفوعة على موقع غوغل درايف الرسمي.

وعلى الرغم من أن هذه التفاصيل قد تبدو غير ذات أهمية، إلا إن العناية الشديدة بالتفاصيل تميز في رأينا محاولات التصيد الإلكتروني هذه عن غيرها من الهجمات الإلكترونية الشائعة؛ وذلك لأنها تظهر توفر مستويات من الخبرة والعناية غير المعتادة والمثيرة للانتباه.

الحالة 3: تطبيق ”هانغ آوت“

ثمة أساليب أخرى تتمثل في تفاصيل حالة أخرى علمنا بها، ونرسم ملامح صورتها في الأسفل، حيث قام صاحب ملف حساب ”صافينا مالك“ المزيف بالدردشة مع ناشط بارز من نيبال يعمل على قضية العمال الأجانب، وطلب منه الحصول على معلومات عنوان البريد الإلكتروني على ”جي ميل“.

ومما يثير الانتباه أن القائمين على الحساب الوهمي يرفعون من عدد الأصدقاء عبر موقع فيسبوك علهم يفلحون في إقناع الناشط بمشروعيتهم، وهو أسلوب لاحظنا استخدامه في مناسبات كثيرة في محادثات المهاجمين مع الناشطين المعروفين لدينا، وهو ما يظهر حجم الوقت والجهد المسخريْن في بناء صورة اجتماعية واسعة النطاق للقائمين على الحساب المزيف.

وتظاهر المهاجمون في هذه الحالة، وبشكل مقنع إلى حد بعيد، بأنهم يوجهون الدعوة إلى الأهداف كي تشارك في تطبيق ”غوغل هانغ آوت“ (وهو عبارة عن خدمة للاتصال المرئي من غوغل).

ومجدداً، سوف تظهر أمام الهدف بمجرد الضغط على الزر صفحة على شاكلة صفحة غوغل الأصلية.

ملاحظة: تم تمويه صورة ملف الحساب حماية لهوية الشخص المستهدف.

تحديد هوية الضحايا

عندما علمنا بموضوع الهجمات عن طريق صحفي تعرض للاستهداف، سرعان ما عرفنا بأمر وجود حالات أخرى مشابهة.

وما اكتشفناه أن صفحات التصيد الإلكتروني هذه كانت قابلة ”لتغيير النسق“. حيث تتضمن الروابط المرسلة عبر البريد الإلكتروني للهدف جميع المعلومات المطلوبة لصفحة التصيد المزيفة، كي يتم تحميل الصور والأسماء الصحيحة.

وعلى سبيل المثال، فقد يظهر الرابط على الشكل الآتي أو نحو ذلك: (لاحظ أنه قد تم حذف الروابط لتعطيل أية عمليات ضغط عليها بشكل غير مقصود، وجرى إخفاء بعض معلوماتها لحماية خصوصية الضحايا)

 

hxxp://rqeuset.hanguot.g-puls.viwe.accnnout-loookout.auditi.devisionial-checlkout.inistructiion-mutuael.halftoine.appliacctiorn-gurad-way.leigacy-fs.termp-forn.provider-saefe.alvie-valuse.token-centeir.recollect.label.ping2port[.]info/?ml=[REDACTED]=&n@e=[REDACTED]&P4t=[REDACTED]&Re3d=aHR0cDovL3Rpbnl1cmwuY29tL2g5d3h3cDg=&pa=2&gp=1

ثمة عدة قيم مشفرة في عنوان الموارد الموحدة (URL) يتم تمريرها إلى الصفحة، والتي تفك الشفرة التالية:

 

hxxp://rqeuset.hanguot.g-puls.viwe.accnnout-loookout.auditi.devisionial-checlkout.inistructiion-mutuael.halftoine.appliacctiorn-gurad-way.leigacy-fs.termp-forn.provider-saefe.alvie-valuse.token-centeir.recollect.label.ping2port[.]info/?ml=[REDACTED]&n@e=[REDACTED]&P4t=//ping2port.info/path/[REDACTED].jpg&Re3d=http://tinyurl.com/h9wxwp8&pa=2&gp=1

تمثل القيمة الأولى عنوان البريد الإلكتروني الخاص بالهدف، فيما تمثل القيمة الثانية اسم الحساب (وغالبا ما يشمل ذلك الاسم الحقيقي الكامل للهدف المزمع). وأما القيمة الثالثة فتمثل عنواناً يحيل إلى نسخة عن صورة ملف حساب الهدف أُخذت من صورة ملف حسابهم على غوغل+ أو يوتيوب، بينما تمثل القيمة الأخيرة رابطاً يتم توجيه الضحية إليه عقب سرقة معلوماته بنجاح.

ويتم تخزين صور الملف المسروقة في الخادم الذي يملكه المهاجمون. ويصبح من الممكن بالتالي التنبؤ باسم الملف وموقعه كونهما مخزنين عادة في مجلد معين يحمل اسماً مكوناً من حرفين صغيرين. على سبيل المثال:

hxxp://ping2port[.]info/path/xx.jpg

(إن اسم هذا الملف بالتحديد مختلق، وتم تعطيل عنوان الموارد الموحدة للحيلولة دون الضغط من باب الخطأ عليها)

ولقد لاحظنا أن هذا النمط قد تكرر في عدد من الهجمات التي تنبهنا لها، وأدركنا إمكانية أن نقوم بالتعرف على ضحايا إضافيين من خلال محاولة تنزيل جميع صور ملفات الحسابات بشكل منتظم بعد أن تم تخزينها باستخدام جميع احتمالات الأرقام الممكنة، وعددها 676 احتمالاً لأسماء الملفات المكونة من حرفين. وبمجرد أن نحصل على صورة جديدة لملف الحساب، فيصبح بالإمكان أن نتعرف على هوية الضحايا من خلال القيام بالبحث في الصور عبر الشبكة بكل بساطة.

وكما توقعنا، فلقد تسنى لنا التعرف على هوية 30 هدفاً مختلفاً.

واتضح أن غالبية الضحايا، الذين تم التعرف عليهم، هم من الناشطين والصحفيين وأعضاء النقابات العمالية. ونشر بعض هؤلاء آراء تنتقد الشؤون الدولية لقطر، ولكن كانت غالبية الضحايا من الأشخاص المرتبطين بمنظمات تساند العمال الأجانب في قطر. وعلى نحو مثير للاهتمام، ينحدر عدد لا بأس بهم من نيبال التي يشكل رعاياها إحدى أكبر جاليات العمال الأجانب في قطر. وهي بلد احتلت مكانة بارزة في سرد العامل الأجنبي في قطر 

بيد أننا قد تعلمنا أن العديد من الأهداف التي ظهرت لم تكن مصحوبة بصورة ملف الحساب المُخزّن، لذلك فمن الممكن أن يكون عدد الأهداف الفعلية أكبر بكثير. ومن خلال محادثاتنا مع الأهداف المحددة أصبح من الجلي أن “صافينا مالك” كثيراً ما اتصلت بجماعات الفيسبوك الموضوعية، وطلبت منهم الحصول على معلومات وتفاصيل حول أهداف أخرى بشأن أهداف أخرى لم نكن على علم بها أصلاً.

من هي الجهة التي تقف وراء هذه الهجمات؟

لا نملك دليلاً قاطعاً يثبت تورط حكومات أو أفراد على وجه التحديد، أو ما يشير إلى مسؤوليتهم عن تلك الهجمات، ولكن تدفعنا هذه الحملة التي تستهدف أفراداً ينشطون في مجال حقوق الإنسان في قطر إلى الاعتقاد بأن الجهة التي تقف ورائها هي جهة ترعاها دولة أو ترتبط بها. . ونحن نعتقد أنه من الممكن أيضاً أن هذه الهجمات من تصميم مقاولون. وفي الواقع، وعلى غرار عمليات جمع المعلومات الاستخبارية التي تم كشفها في دول التعاون الخليجي الأخرى، فقد أظهرت أن هذا العمل قد أسند إلى شركات خاصة. 

وتمكن المهاجمون بشكل مثير من الولوج إلى بعض حسابات البريد الإلكتروني التي تم استخلاصها من العنوان التالي للبروتوكول على الإنترنت

178.152.139.XXX

(تم حذف مجموعة الثمانيات الأخيرة من العنوان) كما يظهر من أحدث نشاط للدخول على حسابات البريد الإلكتروني عبر غوغل:

ويظهر أن عنوان بروتوكول الإنترنت هذا هو عبارة عن رابط اتصال من شركة أوريدو، وهي من مزودي خدمات الإنترنت، ومقرها في الدوحة بقطر.

ملاحظة: غالبا ما يكون الموقع الجغرافي لعنوان بروتوكول الإنترنت تقريبياً، ويشير إلى أن المهاجمين استخدموا رابطاً في الدوحة، ولكن لا ينبغي أن يتم اعتبار الإحداثيات التي حصلنا عليها من خلال خدمة ماكس مايند المجانية على أنها تشير إلى الموقع بدقة.

ولقد خاطبنا حكومة دولة قطر بشأن المعلومات المتعلقة بحملة التصيد الإلكتروني هذه، وطلبنا منها أن ترد على السؤال المتعلق باحتمال ضلوعها فيها. وردت الحكومة القطرية نافيةً بشدة أي علاقة لها بالأمر. (وينبغي أن نشير إلى أن منظمة العفو الدولية لم تكن بين الجهات التي استهدفتها هذه الحملة).

وعبرت الحكومة القطرية أيضاً عن اهتمامها بوقف هجمات التصيّد الإلكتروني.

وخاطبنا أيضا المدعوة ”صافينا مالك“ بمراسلتها على عنوان بريدها الإلكتروني عبر موقع غوغل الذي اعتادت أن تستخدمه للتواصل مع الأهداف. ولخصنا لها نتائج بحثنا، وطلبنا أن نحصل على رد منها. واتصلنا أيضاً مع الحساب على فيسبوك الذي استُخدم في شن الهجمات، ولكن لم نحصل على أي رد حتى وقت نشر التقرير الحالي.

مع أنه ثمة محور واضح تركز هذه الحملة عليه، ويتعلق بموضوع العمال الأجانب في قطر، فمن الوارد نظريا أن يكون مرتكب هذه الهجمات جهة كيدية ترتبط بحكومة أخرى لها مصلحة في الإضرار بسمعة دولة قطر.

ولكن لا تعدو محاولة التعرف على هوية الجهة الحقيقية وراء هذه الهجمات سوى كونها ضرباً من التكهن أو التخمين في ظل غياب أدلة دامغة. وعليه، فلا يمكننا أن نجزم بهوية الجهة التي تقف وراء هذه الهجمات على وجه التحديد.

هل تم استهدافي أنا أيضاً؟

إليكم نتائج البحث في حسابات البريد الإلكتروني عبر موقع غوغل مع التركيز على كلمات مفتاحية نعتقد أنها وردت حصرياً في رسائل البريد الإلكتروني الخبيثة المرسلة من ملف حساب ”صافينا مالك“.

from:safeenamalik6 OR “ropelastic.com” OR “ping2port.info”

ويمكنكم أن تقوموا بنسخ ولصق العبارة في خانة البحث في نافذة بريد غوغل على النحو الآتي:

إذا وصلتكم رسائل بالبريد الإلكتروني على هامش هذه الحملة، فينبغي أن يتمكن حسابكم عبر غوغل من تصفيتها من صندوق الوارد، وتظليلها لعنايتكم.

وإذا توفرت بحوزتكم معلومات إضافية بشأن هذه الحملة، أو إذا تم استهدافكم على هامشها، وترغبون بإطلاعنا على هذه المعلومات، فيمكنكم أن تكتبوا إلينا على عنوان البريد الإلكتروني التالي: tech.reports@amnesty.org ، أو استخدموا موقع ”الدروب بوكس“ الآمن والخاص بمنظمة العفو الدولية على العنوان التالي في : https://amlea.org.

بعض النصائح كي تحموا أنفسكم من هجمات التصيد الإلكتروني

توخوا الحذر عند التعامل مع الروابط الإلكترونية: تأكد قبل أن تضغط على الرابط أو الزر الوارد في رسالة البريد الإلكتروني من الوجهة التي سوف ينقلك إليها. ويمكن القيام بذلك عادة من خلال وضع مؤشر الفأرة على الرابط أو الزر دون أن تضغط عليه؛ ويمكنك أيضاً أن تعرف ذلك من خلال الضغط على زر الفأرة الأيمن، ونسخ الرابط. وإذا وجهك الرابط إلى موقع فيسبوك أو موقع البريد الإلكتروني ”جي ميل“، على سبيل المثال، دون أن يظهر في الرابط ما يفيد بأنه عنوان خاص بموقع فيسبوك أو غوغل، فلربما ثمة خطر ما على الأرجح. وإذا لم تكن متأكداً، فاطبع العنوان باستخدام لوحة المفاتيح، وثم قم بتسجيل الدخول إلى الموقع.

قوموا بتفعيل خاصية التحقق المزدوج (two-factor authentication): تُعد هذه الخاصية القائمة على التحقق من مرحلتين بمثابة خطوة أمان إضافية قبل أن تدخل إلى حسابك. وقد تكون بسيطة جداً في أغلب الأحيان، ولا تحتاج إلى استخدامها إلا عندما تدخل إلى حسابك عن طريق جهاز جديد، أو مرة كل عدة أسابيع. وغالباً ما يُطلب منك أن تدخل رمزاً مكونا من ست خانات يتم إرساله على صيغة رسالة نصية قصيرة إلى هاتفك، أو من خلال إحدى تطبيقات الهواتف الذكية من قبيل “ Google Authenticator, Authy و Duo Mobile “. وسوف تجعل هذه الخطوة من الصعب أن تتم قرصنة حساباتك على الإنترنت، حيث لن تكون كلمات السر كافية وحدها للولوج إلى الحسابات.

وتتضمن الكثير من الخدمات الشائعة خاصية التحقق على مرحلتين، بما في ذلك جي ميل، وآوتلوك، وفيسبوك، وتويتر. ويمكنكم قراءة المزيد عن التحقيق على مرحلتين من خلال هذا الرابط.

احذروا الغرباء: إذا اتصل بكم شخص لا تعرفونه، وشرع في طلب الحصول على تفاصيل شخصية منكم، ومعلومات عن الجهات التي تتصلون بها، واسماء أشخاص تعرفونهم، فلا بد من التعامل مع الأمر بشيء من الريبة. وتذكروا القاعدة البسيطة: إذا كنتم غير مستعدين للكشف عن هذه المعلومات عبر تويتر، فلا تطلعوا هذا الغريب عليها، وحتى ولو بدا أنه ثمة أصدقاء مشتركين فيما بينكم. ولقد تعلمنا من هذه الحملة أن المهاجمين حرصوا على مصادقة عدد كبير من الأشخاص لرفع مستوى ارتباطاتهم الاجتماعية المشتركة من باب الظهور بمظهر يتحلى بالمصداقية والمشروعية.

مؤشرات أمنية

إليكم تفاصيل مفيدة لمزودي خدمة الإنترنت، والمتخصصين في مجال الأمن الإلكتروني التي يجب شمولها في البحوث القادمة، وتنصيب الدفاعات الملاءمة ضدها.

ropelastic[.]com
ping2port[.]info
drvie.goo-qle.aconnut.corn.provider-termp.fs-valuse.checlk-out.appliactiorn.token-loookout-recomrnendation.deivisional.centeir-halftone.mutuael-inistructiion.leigacy-auditi.label-recollect.forn-alive.ropelastic[.]com
rqeuset.hanguot.g-puls.viwe.accnnout-loookout.auditi.devisionial-checlkout.inistructiion-mutuael.halftoine.appliacctiorn-gurad-way.leigacy-fs.termp-forn.provider-saefe.alvie-valuse.token-centeir.recollect.label.ping2port[.]info

direve.g-co.pohto.shraning.fodler-premissiion.viwe.termp-recomrnendation.appliacctiorn.loookout.forn-devisionial.recollect.auditi-checlkout.inistructiion.halftoine-valuse.provider-alive.leigacy.gurad-way.saefe-fs.ping2port[.]info