مؤامرة رمز الاستجابة السريعة: قراصنة كوريا الشمالية يستغلّون «التصيّد عبر QR» لاختراق أهداف أمريكية
العنوان الفرعي: يكشف مكتب التحقيقات الفيدرالي عن موجة جديدة من هجمات التصيّد الموجّه باستخدام رموز QR خبيثة لتجاوز الحماية والاستيلاء على حسابات حساسة.
أصبحت المربعات السوداء والبيضاء البسيطة لرمز الاستجابة السريعة (QR) جزءًا أساسيًا من وسائل الراحة الحديثة، من قوائم المطاعم إلى أنظمة الدفع. لكن هذه الاختصارات الرقمية تُحوَّل الآن إلى سلاح على يد أشهر قراصنة كوريا الشمالية - لتجعل من عمليات المسح اليومية خطوطًا أمامية للتجسّس السيبراني. وفي تحذير جديد مقلق، ينبه مكتب التحقيقات الفيدرالي إلى أن عملاء مدعومين من الدولة يستخدمون «التصيّد عبر QR» (Quishing) لتجاوز إجراءات الأمان، وانتحال الهويات، والتسلّل إلى أهداف أمريكية عالية القيمة.
داخل تهديد «التصيّد عبر QR» الجديد
يكشف التنبيه العاجل الأخير الصادر عن مكتب التحقيقات الفيدرالي الستار عن أسلوب في الجريمة الإلكترونية بقدر ما هو ذكي بقدر ما هو خبيث. إذ يقوم فاعلون تابعون للدولة في كوريا الشمالية، يعملون تحت أسماء مستعارة مثل «كيمسوكي» (المعروفة أيضًا باسم APT43 وEmerald Sleet وغيرها)، بإدراج رموز QR خبيثة داخل رسائل تصيّد موجّه مُحكمة الصياغة. وعلى خلاف التصيّد التقليدي الذي يطلب عادةً من الضحايا النقر على روابط مشبوهة على أجهزة الكمبيوتر، يدفع التصيّد عبر QR الأهداف إلى مسح رموز QR بهواتفهم الذكية - وهي أجهزة غالبًا ما تكون خارج نطاق الحماية الذي توفره أنظمة أمن الشركات.
وبمجرد مسحه، يمكن لرمز QR أن يوجّه الضحايا إلى صفحات تسجيل دخول مزيفة أو مواقع محمّلة ببرمجيات خبيثة، أو حتى يطلق تنزيل برمجيات خبيثة لنظام أندرويد مثل «DocSwap» التي كُشف عنها مؤخرًا. ومن هم المستهدفون؟ قادة بارزون في مراكز الأبحاث، ومسؤولون في السفارات، وشركات استشارات استراتيجية - أي شخص لديه وصول إلى رؤى جيوسياسية حساسة أو معلومات مصنّفة.
ويسرد مكتب التحقيقات الفيدرالي مجموعة من الحيل: قراصنة ينتحلون صفة مستشارين أجانب أو موظفين في سفارات، ويطلبون من الضحايا مسح رمز للوصول إلى استبيان آمن أو إلى مساحة تخزين «محميّة». لكن في الواقع، تعيد هذه الرموز توجيه الضحايا إلى بنية تحتية يسيطر عليها المهاجمون، ما يتيح سرقة بيانات الاعتماد، واختطاف الجلسات، وحتى القدرة على تجاوز المصادقة متعددة العوامل (MFA). ومن خلال سرقة رموز الجلسات، يحصل القراصنة على وصول مستمر دون إطلاق تنبيهات MFA المعتادة، ما يجعل اكتشاف الهجوم أكثر صعوبة بكثير.
وما يزيد الأمر سوءًا أن هذه الهجمات تستغل الحلقة الأضعف: الأجهزة المحمولة الشخصية غير المُدارة. وبما أن هذه الأجهزة غالبًا ما تعمل خارج نطاق تغطية حلول كشف الاستجابة على نقاط النهاية (EDR) في المؤسسة، تصبح مراقبة الشبكة وضوابط الأمان التقليدية عاجزة عن إيقاف الاختراق بمجرد أن يمسح الضحية الرمز.
ويحذّر مكتب التحقيقات الفيدرالي: «يُعدّ التصيّد عبر QR الآن ناقلًا عالي الثقة لاختراق الهوية داخل بيئات المؤسسات، وقادرًا على الصمود أمام MFA». والدلالة واضحة: على المؤسسات إعادة التفكير في استراتيجيات أمن الأجهزة المحمولة وتثقيف الموظفين بأن ليس كل رموز QR متساوية.
الخلاصة
يشكّل صعود التصيّد عبر QR فصلًا جديدًا في سباق التسلّح السيبراني. فما كان يومًا مجرد وسيلة راحة غير ضارة أصبح الآن سلاحًا قويًا في أيدي خصوم مصمّمين. ومع استمرار قراصنة كوريا الشمالية في الابتكار، يقع العبء على عاتق المؤسسات - والأفراد - للبقاء على قدر عالٍ من اليقظة. ففي عالم التجسّس السيبراني، قد يفتح مسح سريع واحد بابًا إلى كارثة.
WIKICROOK
- Quishing: التصيّد عبر QR هو هجوم سيبراني يستخدم فيه المحتالون رموز QR لتوجيه الضحايا إلى مواقع خبيثة أو لسرقة معلومات حساسة عند مسحها.
- Spear: التصيّد الموجّه هو هجوم سيبراني مستهدف يستخدم رسائل بريد إلكتروني مُخصّصة لخداع أفراد أو منظمات بعينها للكشف عن معلومات حساسة.
- Session Token: رمز الجلسة هو شفرة رقمية فريدة تُبقي المستخدمين مسجّلين الدخول إلى المواقع أو التطبيقات. وإذا سُرق، يمكن للمهاجمين الوصول إلى الحسابات دون كلمة مرور.
- Multi: يشير «Multi» إلى استخدام مزيج من تقنيات أو أنظمة مختلفة - مثل أقمار LEO وGEO - لتحسين الاعتمادية والتغطية والأمان.
- Endpoint Detection and Response (EDR): كشف الاستجابة على نقاط النهاية (EDR) هي أدوات أمنية تراقب أجهزة الكمبيوتر بحثًا عن نشاط مريب، لكنها قد تفوّت الهجمات المعتمدة على المتصفح التي لا تترك ملفات.
