⚡ أبرز النقاط

نجح Scattered Spider في التلاعب بمكتب المساعدة التابع لـ Aflac في يونيو 2025، مسرِّباً بيانات 22.65 مليون شخص تشمل الأسماء وأرقام الضمان الاجتماعي والسجلات الصحية وبيانات المطالبات — بالدليل الهجومي ذاته المستخدم بالتوازي ضد Erie Insurance وPhiladelphia Insurance وScania Financial.

الخلاصة: أي منظمة يمكن لمكالمة مكتب مساعدة فيها أن تُعيد تعيين بيانات اعتماد الأنظمة المحتوية على بيانات شخصية بالجملة تُشغّل الثغرة المفتوحة ذاتها. المصادقة متعددة العوامل المرتبطة بالأجهزة، وتصنيف إعادة التعيين بالمستويات، والتمارين الفصلية لـ Vishing — هي الضوابط الثلاثة غير القابلة للتفاوض.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
متوسطة
قطاع التأمين الجزائري (SAA وCAATوSalama) يوسّع عملياته الرقمية، والهندسة الاجتماعية عبر الهاتف مستقلة عن التكنولوجيا؛ أي شركة تأمين تُدير دعماً هاتفياً تواجه الناقل الهجومي ذاته
البنية التحتية جاهزة؟
جزئياً
تمتلك شركات التأمين الجزائرية الكبرى فرق أمن تقنية المعلومات، لكن بروتوكولات الدفاع ضد Vishing والمصادقة متعددة العوامل المرتبطة بالأجهزة لمكاتب المساعدة الداخلية ليست ممارسة معيارية بعد
الكفاءات متوفرة؟
جزئياً
يوجد متخصصون في الأمن السيبراني (نظام ASSI وDZ-CERT)، لكن القدرة المتخصصة في اختبار الاختراق الاجتماعي لدى شركات التأمين محدودة؛ معظم الاستثمارات الأمنية تركز على المحيط
الجدول الزمني للتحرك
6-12 شهراً
يمكن تطبيق إجراءات تصليب مكتب المساعدة سريعاً؛ نشر MFA المرتبط بالأجهزة وبرامج تمارين Vishing يحتاج 2-4 أرباع سنة
أصحاب المصلحة الرئيسيون
مديرو أمن المعلومات ومديرو أمن تقنية المعلومات في SAA وCAATوSalama؛ ASSI (الوكالة الجزائرية لأمن أنظمة المعلومات)؛ قادة التحول الرقمي في مشغلي التأمين
نوع القرار
تكتيكي
Assessment: تكتيكي. Review the full article for detailed context and recommendations.

خلاصة سريعة: شركات التأمين الجزائرية التي ترقمن سير عمل العملاء والمطالبات تبني تماماً سطح مكتب المساعدة الذي أكّد اختراق Aflac ثمنه. يوفر إطار ASSI ولائحة NYDFS للأمن السيبراني ركيزتين تنظيميتين لإلزامية المصادقة متعددة العوامل المرتبطة بالأجهزة وتمارين Vishing. شركات التأمين التي تعتبر هذا “مشكلة أمريكية” تُشغّل ثغرة معروفة ومفتوحة.

إعلان

الاختراق بالأرقام: ما الذي أخذه Scattered Spider فعلاً

في يونيو 2025، اخترق فاعل تهديد مرتبط بـ Scattered Spider — وهو تحالف فضفاض من مجرمي الإنترنت الناطقين بالإنجليزية من الولايات المتحدة والمملكة المتحدة وكندا — بيئة Aflac وسرّب البيانات قبل أن يُطرد. وفقاً لإفصاح Aflac أمام النائب العام لولاية أيوا، جرى إيقاف الاختراق في غضون ساعات دون أي اضطراب تشغيلي أو نشر لبرامج الفدية. بيد أن التأثير التشغيلي المحدود نسبياً جعل الرقم النهائي أشد وقعاً: 22.65 مليون شخص متضرر، منهم أكثر من مليوني مقيم في ولاية تكساس وحدها.

مجموعة البيانات المسروقة غنية بشكل غير مألوف حتى وفق معايير الاختراقات المعتادة. تضمنت السجلات المخترقة الأسماء وتواريخ الميلاد والعناوين وأرقام الهوية الحكومية ورخص القيادة وأرقام الضمان الاجتماعي والسجلات الطبية وبيانات التأمين الصحي — بما فيها بيانات المطالبات الفعلية. لا تخضع كل الفئات لكل فرد، غير أن الجمع بين رقم الضمان الاجتماعي وبيانات المطالبات الصحية ومعلومات الاتصال يُشكّل حزمة عالية القيمة لأغراض سرقة الهوية والاحتيال الطبي.

يخدم Aflac نحو 50 مليون عميل، مما يعني أن الاختراق مسّ ما يقارب 45 بالمئة من قاعدة عملائه الإجمالية. عرضت الشركة 24 شهراً من الحماية من سرقة الهوية — تشمل مراقبة الائتمان وحماية الهوية والحماية من الاحتيال الطبي — بموعد تسجيل أقصاه 18 أبريل 2026. جرى إخطار سلطات إنفاذ القانون الفيدرالية وانخراط خبراء خارجيين في الأمن السيبراني. ورغم هذه الاستجابات، فإن الفجوة الزمنية البالغة ستة أشهر بين اختراق يونيو 2025 والتأكيد العلني في 26 ديسمبر 2025 تمثل بحد ذاتها إشكالية تتعلق بالسمعة يراقبها المنظمون في قطاع التأمين عن كثب.

كيف يستغل Scattered Spider مكتب المساعدة

Scattered Spider — المُتتبَّع أيضاً تحت أسماء UNC3944 وUNC3944 و0ktapus وMuddled Libra — صقل دليل هجوم قابل للتكرار وصفه باحثو الأمن السيبراني في Blackfog بـ”الهندسة الاجتماعية الهاتفية لمكتب المساعدة”. الآلية بسيطة ومدمرة في الوقت ذاته.

يبدأ المشغلون بانتحال صفة موظف يواجه مشكلة عاجلة — حساب مقفل أو فشل في مصادقة متعددة العوامل (MFA) أو جهاز مفقود. يصلون إلى الاتصال مزودين ببيانات شخصية جُمعت من اختراقات سابقة: الاسم الكامل للموظف المستهدف ومسماه الوظيفي واسم مديره ورقم تعريفه، وأحياناً إجابات أسئلة الأمان الشائعة. لا تُستخدم هذه البيانات للدخول المباشر، بل لإقناع محلل مكتب المساعدة بتجاوز بروتوكولات التحقق وإعادة تعيين بيانات اعتماد المصادقة متعددة العوامل أو VPN. والنتيجة مجموعة بيانات اعتماد صالحة يتحكم فيها المهاجم — ما يصفه باحثو Blackfog بـ”المفتاح الشامل للشبكة”.

عندما لا يكفي جمع بيانات الاعتماد وحده، يلجأ المجموعة إلى إجهاد المصادقة متعددة العوامل: إرسال إشعارات طلب مصادقة متكررة إلى موظف شرعي حتى يوافق على طلب يُفترض به رفضه بسبب الإرهاق أو الارتباك أو بالتزامن مع مكالمة هاتفية من المهاجم.

الأسلوب لا يستهدف قطاعاً بعينه، لكن التأمين بالغ الجاذبية. أحجام مكتب المساعدة لدى شركات التأمين مرتفعة، وفرق المحللين كبيرة وغالباً خارجية أو مُعهود بها لجهات ثالثة، والأنظمة التي يجري الوصول إليها — منصات إدارة المطالبات وإدارة وثائق التأمين والاكتتاب الطبي — تحتوي على أشد البيانات حساسية. وتُشير الهجمات المتزامنة في يونيو 2025 على Erie Insurance وPhiladelphia Insurance Companies جنباً إلى جنب مع Aflac، فضلاً عن اختراق Scania Financial Services، إلى استهداف متعمد للقطاع لا اختيار فرصوي. وفي إطار حملة عام 2025 الأوسع، اخترق Scattered Spider أيضاً Allianz Life وتوجّه لاحقاً نحو قطاع الطيران مستهدفاً WestJet وHawaiian Airlines وQantas — حيث جرى الوصول إلى بيانات نحو 6 ملايين مسافر.

مالياً، ابتزّ Scattered Spider ما لا يقل عن 115 مليون دولار من عشرات الضحايا على مدى ثلاث سنوات. جرى تفكيك موقع تسريب تشغيله المجموعة من قِبل جهات إنفاذ القانون عام 2025، واعتُقل عضوان في المملكة المتحدة، غير أن الهيكل الائتلافي يعني أن تعطيل هذه العقد لم يوقف العمليات.

إعلان

ما يجب على مديري أمن المعلومات فعله: تحصين مكتب المساعدة ضد Vishing

اختراق Aflac إخفاق إجرائي لا تقني. لم يُستغل أي ثغرة يوم الصفر. ولم يشقّ أي تهديد متقدم مستمر طريقه عبر محيط الشبكة لأشهر. شخص في مكالمة هاتفية أقنع شخصاً آخر بتسليم بيانات اعتماد. وهذا يعني أن التدابير المضادة إجرائية كذلك — لكنها يجب أن تُجسَّد بنفس الصرامة التي تُطبَّق بها قاعدة جدار الحماية.

1. استبدال التحقق بالأسرار المشتركة بإثبات مرتبط بالأجهزة

المصادقة المبنية على المعرفة — “ما هو معرّف موظفك؟ ما اسم حيوانك الأليف الأول؟” — تُبطَل فور وجود هذه البيانات في أي مجموعة بيانات مُخترقة، ويحرص Scattered Spider تحديداً على تحميل هذه المعلومات قبل الاتصال. البديل هو الهوية المرتبطة بالأجهزة: مفتاح أمان مادي وفق معيار FIDO2، أو بطاقة هوية الشركة على قارئ مادي، أو إعادة التحقق من الهوية شخصياً. للموظفين عن بُعد، تُضيف مكالمة مرئية مباشرة مع مدير الطالب بوصفه مُتحقِّقاً مشاركاً طبقة ثانية من التحقق البشري يصعب تزويرها بما لا يُقارَن بصوت عبر الهاتف. أي إجراء في مكتب المساعدة يُجيز إعادة تعيين بيانات الاعتماد أو تجاوز المصادقة متعددة العوامل عبر مكالمة صوتية وحدها ينبغي التعامل معه باعتباره ثغرة مفتوحة.

2. تصنيف طلبات إعادة التعيين وفق مخاطر البيانات لا سرعة المعالجة

لا تحمل جميع طلبات مكتب المساعدة المخاطر ذاتها. إعادة تعيين كلمة مرور لحساب إنتاجية منخفض الصلاحيات تختلف اختلافاً جوهرياً عن إعادة تعيين المصادقة متعددة العوامل لحساب يتمتع بالوصول إلى أنظمة إدارة المطالبات أو إدارة وثائق التأمين أو بيانات الصحة الشخصية. ينبغي لمديري أمن المعلومات العمل مع عمليات مكتب المساعدة لبناء تصنيف متدرج: إعادة التعيين من المستوى الأول (صلاحيات منخفضة، لا وصول لبيانات شخصية) تمضي مع التحقق المعياري؛ إعادة التعيين من المستوى الثاني (مالية أو موارد بشرية أو وصول للبيانات المتوسطة) تستلزم تفويضاً مشتركاً من المدير عبر قناة مصادَقة منفصلة؛ إعادة التعيين من المستوى الثالث (أي حساب له وصول لبيانات شخصية بالجملة أو سجلات صحية أو بيانات دفع) تستوجب فترة انتظار إلزامية مدتها 24 ساعة وإشعاراً لصاحب الحساب عبر تواصل خارج النطاق. فترة الـ 24 ساعة هي نافذة الاكتشاف التي تُتيح لصاحب الحساب الحقيقي الإبلاغ عن إعادة التعيين قبل استخدام المهاجم للبيانات.

3. التعامل مع إجهاد MFA باعتباره حادثة أمنية لا شذوذاً في المصادقة

حين يتلقى موظف أكثر من إشعارَي دفع غير متوقعَين لـ MFA في جلسة واحدة دون بدء محاولة تسجيل دخول مقابلة، فهذه حادثة أمنية — لا شذوذ يُسجَّل ويُتجاهل. ينبغي لمديري أمن المعلومات تهيئة منصات الهوية (Okta وMicrosoft Entra وDuo) لقفل الحسابات تلقائياً وتوليد تنبيه أولوية قصوى في مركز العمليات الأمنية بعد ثلاثة إشعارات دفع متتالية غير مُطلوبة خلال نافذة 30 دقيقة. في الوقت ذاته، يجب أن يتلقى الموظف المتأثر إشعاراً خارج النطاق (رسالة نصية أو بريد إلكتروني شخصي أو اتصال من المدير) يُوضح أن محاولة وصول لحسابه ربما جارية ويُوجّهه صراحةً لعدم الموافقة على أي طلبات MFA معلّقة.

4. بناء تمارين الفريق الأحمر لمكتب المساعدة المخصصة لـ Vishing

التدريب السنوي على التوعية الأمنية مع وحدة محاكاة التصيد الاحتيالي لا يُعدّ المحللين لمكالمة صوتية حية من مهاجم واثق ومستعد يعرف اسم مدير الموظف. التحضير الوحيد الفعّال هو التدريب في ظروف واقعية. ينبغي للفرق الأمنية تنظيم تمارين vishing فصلية تستهدف مكتب المساعدة: يحاول عضو من الفريق الأحمر الداخلي المُدرَّب، باستخدام بيانات موظفين حقيقية متاحة عبر LinkedIn ومجموعات بيانات الاختراقات السابقة، إجراء محلل عبر إعادة تعيين بيانات اعتماد من المستوى الثالث. كل تمرين — ناجحاً أم لا — يُنتج محللاً مُسمّىً يحتاج توجيهاً، وإجراءً مُسمّىً جرى استغلاله، وتسجيلاً لمكالمة يصبح مادة تدريبية. اختراقات Aflac وMGM Resorts (2023) وMarks and Spencer (2025) جميعها اتبعت النص ذاته — لا شح في مواد قضايا الدراسة لبناء التمارين.

الدرس الهيكلي: التأمين هو البنية التحتية الحيوية الجديدة المستهدفة

تكشف الحملة المكثفة في يونيو 2025 ضد Aflac وErie Insurance وPhiladelphia Insurance وScania Financial — يعقبها بأسابيع استهداف قطاع الطيران — عن نمط ذو تداعيات استراتيجية تتخطى أي قائمة إجراءات علاجية فردية. Scattered Spider ليس مجموعة فرصوية تعثر على أهداف صدفةً؛ إنها جهة تهديد تدور بين القطاعات وتُحدد صناعات تمتلك مخزونات بيانات شخصية عالية القيمة، وعمليات مكتب مساعدة واسعة وموزعة، واستثمارات أمنية أقل تاريخياً مقارنةً بالخدمات المالية أو التكنولوجيا.

التأمين يستوفي الشروط الثلاثة. يحتفظ القطاع بأرقام الضمان الاجتماعي والسجلات الصحية والبيانات المالية على نطاق واسع. غالباً ما تكون مكاتب المساعدة عالية الحجم ومُعهوداً بها لجهات خارجية وتُقاس أداءاتها بسرعة الحل — ثقافة معادية هيكلياً للاحتكاك الذي تستلزمه التحقق الجيد من الهوية.

بالنسبة لمديري أمن المعلومات خارج قطاع التأمين، تنتقل الدروس مباشرة. أي منظمة يمكن فيها لمكالمة مكتب مساعدة أن تُفضي إلى وصول لبيانات اعتماد تُتيح الوصول إلى أنظمة تحتوي بيانات شخصية بالجملة — رعاية صحية أو مزودو كشوف الرواتب أو منصات الموارد البشرية أو الخدمات المالية — تُشغّل سطح الهجوم ذاته الذي دفع Aflac ثمنه. الدليل علني. التدابير المضادة معروفة. السؤال المتبقي هو ما إذا كانت المعالجة ستُجعل أولوية قبل أم بعد إرسال رسالة إشعار الاختراق.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

ما البيانات التي سرقها Scattered Spider من Aflac؟

استخرج المهاجمون الأسماء وتواريخ الميلاد والعناوين وأرقام الهوية الحكومية ورخص القيادة وأرقام الضمان الاجتماعي والسجلات الطبية وبيانات التأمين الصحي بما فيها بيانات المطالبات، مما أثّر على 22.65 مليون عميل وموظف ووكيل ومستفيد.

كيف يتجاوز Scattered Spider المصادقة متعددة العوامل؟

يستخدم Scattered Spider أسلوبين رئيسيين: مكالمات Vishing (التصيد الصوتي) لموظفي مكتب المساعدة حيث ينتحل المشغلون صفة موظفين ويستخدمون بيانات شخصية مُجمَّعة مسبقاً لدفع المحللين إلى إعادة تعيين بيانات اعتماد MFA؛ وإجهاد MFA حيث تُرسَل طلبات دفع متكررة حتى يوافق مستخدم شرعي على أحدها بسبب الإرهاق أو الارتباك.

ما شركات التأمين الأخرى التي استهدفها Scattered Spider عام 2025؟

استهدفت حملة يونيو 2025 المنسوبة إلى Scattered Spider أيضاً Philadelphia Insurance Companies وErie Insurance وScania Financial Services وAllianz Life. ثم استهدفت المجموعة ذاتها شركات طيران من بينها WestJet وHawaiian Airlines وQantas.

المصادر والقراءات الإضافية