"نايل فيش".. احذر رسائل البريد الإلكتروني الأمنية المزورة للتجسس

لو وصلك بريد إلكتروني يوضح أنه من "جوجل" أو "واتس أب" أو أي متصفح إلكتروني أو موقع تواصل، يطلب منك تحديث البرنامج وإعادة كتابة الرقم السري مرة أخرى فلا تفعل، وقم بحذفه أو أرسله إلى حساب معمل "سيتزن لاب" الدنماركي؛ ليكشف لك عن أنه "فيروس" حكومي هدفه التسلل لموبايلك أو جهازك والتنصت عليك.
هذه هي باختصار مهمة فيروس "نايل فيش"، الذي تسعى من خلاله مجموعة حكومية أمنية مصرية للتجسس على النشطاء والحقوقيين وأعضاء منظمات المجتمع المدني، برغم مخالفة ذلك لدستورهم (2014)!.
وهذا الأسبوع بدأ نشطاء مصريون يشتكون من بدء موجة هجمات تصيد Phishing جديدة تقوم بها مجموعة "نايل فيش" Nile Phish، المرجح ارتباطها بجهات أمنية؛ بهدف التجسس والولوج إلى البريد الإلكتروني والأجهزة.
نشطاء- من بينهم المصري "رامي رءوف" بالتعاون مع الباحثين في مركز "سيتزن لاب" لكشف التجسس الإلكتروني، منهم "بيل مارزاك"، و"إيتين مايرنر"- تولوا تعريف المصريين بطبيعة عمليات الاختراق التي تحدث، ودعوتهم إلى إرسال ما يصل إليهم من محاولات اختراق إلى موقع معمل "سيتزن لاب" لتحليله وكشف الاختراقات، وبيان أسماء الإيميلات المشبوهة التي تصل منها رسائل الفيروسات.
https://citizenlab.org/2017/02/nilephish-report/
وتزامن هذا مع دعوات جديدة في برلمان السيسي لحجب فيس بوك وإعدام النشطاء الذين "يحرضون على بلادهم" عليه، واتهام النائب أحمد رفعت، عضو لجنة الاتصالات وتكنولوجيا المعلومات، بأنهم "خانوا وباعوا الوطن، وأخطر من الجواسيس".
وهي قصة ليست جديدة لخنق السوشيال ميديا، فمنذ أبريل الماضي، علت أصوات من داخل البرلمان، منادية بتشديد الرقابة على موقع التواصل الأشهر بمصر، وأخرى مطالبة بإغلاقه، وجرى تشكيل لجنة مكلفة بدراسة محور الأمن القومي، أوصت "بوضع ضوابط على وسائل التواصل الاجتماعي، وتحديدًا فيسبوك".
قصة نايل فيش
في نوفمبر 2016، تم الكشف عن برنامج التنصت الحكومي "نايل فيش" يقوم بهجمات قرصنة أكثر تطورا على أوسع نطاق ضد جماعات حقوق الإنسان المستقلة والناشطين في مصر، عبر استهداف حساباتهم، عن طريق انتحال صفة فريق "جوجل" أو "جي ميل" في صورة رسائل تبدو رسمية من المتصفح العالمي، تطالبهم بإعادة تحديث كلمات السر لاختراقها.
والجديد في مارس الجاري، الذي كشفه الناشط والمبرمج "رامي رءوف"، هو أن "نايل فيش" بدأت تنتحل صفة "واتس اب" أيضا وغيرها من برامج التواصل والتشغيل العالمية، للسطو على حسابات أفراد ومنظمات حقوقية ومدنية والتنصت على اتصالاتهم.
"رءوف" يقول، عبر حسابه على فيس بوك: "لاحظنا أن نايل فيش استمرت في هجماتها رغم الكشف عنها في فبراير الماضي، ولكن مع تغييرات طفيفة في أساليبها".
وتابع "اتصل بنا عدد ممن تم استهدافهم من الأهداف الجديدة، بواسطة هذا البرنامج، عبر استخدام أساليب الهندسة الاجتماعية، أي التخفي في صورة محركات بحث رسمية مثل جوجل، وإرسال رسائل فيروسات التنصت في رسائل باسمها (جوجل أو واتس أب أو غيرها)، وتطلب إعادة تفعيل الإيميل لسرقة الباسوورد، أو تحديث برامج، بهدف استهداف النشطاء.
وجانب من تلك المحاولات يستهدف اعتراض الأجهزة وإعاقة ما يسمى "الاتصالات المعمّاة" عبر الإنترنت، ويقصد بها "النقاط" التي تظهر لك وأنت تكتب الباسوورد ليظل سريا، بدلا من كشف "الحروف" التي تكتب بها، حيث تستهدف هذه العمليات الاختراقية تحويل البيانات التي تكتبها على الإنترنت إلى صيغة مقروءة بدلا من غير المقروءة (النقاط).
92 هجمة على 7 منظمات حقوقية
وسبق ل"المبادرة المصرية للحقوق الشخصية"، بالتعاون مع "سيتزن لاب"، الكشف عن 92 هجوما إلكترونيا على 7 منظمات حقوقية، في 10 أسابيع فقط، نشرت نتائجه في 2 فبراير 2017 الماضي.
وأشارت "المبادرة المصرية للحقوق الشخصية" إلى أن الهجمات لها علاقة بالحكومة، ووصفت "مجموعة نايل فيش" Nile Phish بأنها تقوم ب"أكبر هجمة تقنية منظمة لاختراق منظمات المجتمع المدني ونشطاء مستقلين".
وذكرت المبادرة أن عدد الهجمات التي تم توثيقها على حسابات العاملين والعاملات في المنظمات محل البحث، بلغت 92 هجوما، تمت في الفترة من 24 نوفمبر 2016 حتى 31 يناير 2017، أي أقل من 10 أسابيع.
وأن كشف هذه المجموعة جاء نتاج "جهود بحثیة بواسطة فریق مشترك من المبادرة المصرية للحقوق الشخصیة، وسيتزن لاب بمدرسة مونك للشئون الدولیة في جامعة تورنتو".
وأظهرت أن "الهجمات التي استهدفت الحسابات المؤسسية والحسابات الشخصية للعاملين والعاملات في المنظمات"، اعتمد خلالها القائمون بالهجمات على "الهندسة الاجتماعية"، أو الاصطياد phishing كوسيلة رئيسية بإلهاء المستهدفين عبر انتحال هوية أفراد وصفة شركات مثل جوجل ودروبوكس وفيديكس للحصول على بيانات شخصية.
وقبل هذه الشكوى الحقوقية من الاختراقات الكثيفة، شهدت الأشهر الستة الأخيرة من عام 2016، تصعيدًا ملحوظًا في جهود الحكومة المصرية لتعزيز قدرتها على اعتراض ومراقبة الرسائل والاتصالات المتبادلة عبر الإنترنت بشكل جماعي وشامل، وإعاقة عمل أدوات الأمان الرقمي المستعملة في مصر من الأفراد والمؤسسات.
وبرر نشطاء وخبراء تقنيون الاضطرابات المتكررة في نشاط الإنترنت في مصر، التي بدأت منذ منتصف العام الماضي، بسعي هذا البرنامج لاختراق الاتصالات.
فاعل حكومي
وقالت "المبادرة المصرية للحقوق الشخصية"، إنه بعد عدد من الهجمات المتتالية على الحسابات الشخصية، تلقى بعض العاملين والعاملات إخطارًا رسميًّا من شركة جوجل بوجود فاعل حكومي يسعى لسرقة كلمة السر".
وأشارت إلى أن "بعض الهجمات اتسمت بتنسيق لا مثيل له بين القائمين بالاختراق وقوات الشرطة من حيث المزامنة في التوقيت".
واعتبر معدو التقرير أنه "إما أن یكون القائم بالهجمة فاعلا حكومیا، وإما أن یكون هناك تنسیق قوي بین المهاجمين وجهة حكومية".
وحول احتمالات تورط الحكومة، ذكر التقرير الحقوقي "عدة مؤشرات" على ذلك، (أولها): أن بعض العاملين تلقوا إخطارا رسمیا من شركة جوجل باحتمال وجود فاعل حكومي يسعى لسرقة كلمة السر.
والمؤشر (الثاني) أن بعض الهجمات اتسمت بتنسيق "لا مثیل له"، بين القائمين بالاختراق وقوات الشرطة من حیث المزامنة في توقيت الهجمات الإلكترونية والأمنية، حيث ازدادت كثافة الهجمات الإلكترونية على جمیع المنظمات، بالتزامن مع زيادة الأخبار والقرارات الخاصة بالمنع من السفر ضد العاملین.
وذكرت مبادرة "دفتر أحوال" الإعلامية، أن هناك 185 حالة منع من السفر لحقوقيين ونشطاء مصريين خلال خمس سنوات، في الفترة بين 11 فبراير 2011 إلى 20 فبراير 2016.
كیف تعمل مجموعة "نایل فیش"؟
وتعتمد تقنية اختراق "نايل فيش" لحسابات النشطاء، على تقنية رخيصة وبسیطة من حیث التكلفة المادیة ودرجة التعقيد التقنية، كما لاحظ الباحثون في بعض الهجمات وجود أخطاء لغویة في الصياغات المرسلة على أنها من جوجل وغيرها.
ويستهدف "تكتيك الاصطياد" الوصول إلى معلومات خاصة بمستخدمي الإنترنت، مثل المعلومات الشخصیة أو البنكیة أو كلمات السر عن طريق البرید الإلكتروني أو استمارات أو مواقع، اعتمادا على انتحال هویة جهة ما، بعدها تبدأ عملية الاختراق للحسابات باستخدام البیانات التي تم الوصول إلیها، والحصول على كلمة المرور (password).
كما تعتمد على استخدام برمجيات خبيثة لإلحاق مستويات مختلفة من الضرر، عبر ارسال فيروسات أو ما يسمى ب"أحصنة طروادة".
وضرب التقرير مثالا بانتحال أعضاء مجموعة "نايل فيش" هوية مركز "النديم" لضحايا التعذيب، وإرسال دعوة بالبريد الإلكتروني لمناقشة قانون الجمعيات الأهلية الجديد (قبل إقراره بأيام)، مشيرين إلى أن "الدعوة المزيفة اعتمدت على صياغات رسائل حقيقية صدرت سابقا عن مركز النديم ومنظمات شريكة لتبدو أكثر واقعية، مع تغيير في الصياغة.
سيجنال وواتس أب
وسبق أن اشتكى صحفيون ونشطاء يستخدمون تطبيقات مثل "سيجنال" المشابهة لتطبيق واتس أب في المحادثات الآمنة، في ديسمبر الماضي، من تعذّر الوصول للتطبيق عن طريق شركات الجوال المصرية، وكشفت شركة "Whisper Systems"، عبر حسابها على تويتر، رسمياً، عن أن مصر حظرت تطبيق الدردشة المشفر "سيجنال".
وجرى الكشف عن أن مصر حجبت استخدام "سيجنال"، وحظرت الوصول إليه، وأن عددا من مقدمي خدمات اﻹنترنت في مصر قاموا بتعطيل الاتصال بخدمات "سيجنال" وموقعها الإلكتروني.
ولكن الشركة الأم قامت بإضافة تحديثات لتجاوز الرقابة والحجب المصري، بحيث لو حاولت مصر أو دول أخرى حظر التطبيق مرة أخرى فسيكون عليها منع الدخول إلى موقع جوجل نفسه، بحسب بيان الشركة، وهو أمر يصعب معه حظر التطبيق مرة أخرى.
ووضعت مصر مؤخرا قيودا على مواقع التواصل، منها مشروع قانون جرائم الإنترنت الجديد الذي يتكون من 59 مادة، تضمن عقوبات رادعة لمرتكبي الجرائم عبر شبكة الإنترنت، وسبق أن نشرت برامج مسربة من وزارة الداخلية المصرية، قبل ثورة يناير 2011، تشير إلى شراء برامج تجسس (فينفيشيروا) من شركة ألمانية لاختراق البريد الإلكتروني لنشطاء مصريين.
ويمنع الدستور الحالي في المادة 57، التنصت الجماعي على الاتصالات والمراسلات، حيث تنص على أن "للمراسلات البريدية، والبرقية، والإلكترونية، والمحادثات الهاتفية، وغيرها من وسائل الاتصال حرمة، وسريتها مكفولة، ولا تجوز مصادرتها، أو الاطلاع عليها، أو رقابتها إلا بأمر قضائي مسبب، ولمدة محددة، وفى الأحوال التي يبينها القانون".
ولكن تسعى الحكومة إلى وضع تشريعات تتحايل على هذه النصوص، عبر الربط بين التنصت والإرهاب وحماية أمن الدولة.