موجة التصيد الاحتيالي في 2026: حين تحولت شات جي بي تي وكلود وديب سيك إلى طُعم لاصطياد الضحايا

• الحجم والأهداف: أُرسلت موجة أولية من 4,500 رسالة بريد إلكتروني إلى ضحايا في جنوب أفريقيا. وبالتوازي، استخدمت حملة أوسع البنية التحتية نفسها لإرسال ما يصل إلى 100,000 بريد إلكتروني في يوم واحد إلى أهداف في سويسرا والنمسا وجنوب أفريقيا، مع التركيز على مؤسسات التعليم العالي والخدمات المهنية .
• الأسلوب: استخدم الهجوم سلسلة إعادة توجيه متعددة المراحل. عند النقر على رابط "تحديث الدفع"، كان يتم توجيه الضحايا عبر منصة إدارة علاقات عملاء (CRM) شرعية، ونطاق تتبع تابع لأمازون، واختصار روابط، قبل أن يهبطوا في موقع تجارة إلكترونية مخترق لجمع المعلومات الشخصية وتفاصيل بطاقة الائتمان كاملة عبر عدة صفحات متسلسلة .

2. هجوم الوسيط الخصم (AiTM) بانتحال شخصية كلود (20–22 أبريل 2026)

كانت هذه الحملة المتطورة لسرقة بيانات الاعتماد تنتحل شخصية شركة أنثروبيك بهدف تجاوز المصادقة متعددة العوامل (MFA) .

• الحجم والأهداف: استهدف الهجوم أكثر من 2,000 مؤسسة، 62% من الضحايا في الولايات المتحدة، و18% في المملكة المتحدة، و9% في الهند. وشكلت شركات الخدمات المالية 8% من الأهداف .
• الأسلوب: تلقى الضحايا بريداً إلكترونياً يزعم وجود انتهاك لسياسات الاستخدام، مرفقاً بملف PDF بعنوان "Fill and Sign Claude Appeal Form.pdf" (بصمة SHA-256: 791efb...d40e) . كان ملف PDF يقود المستخدمين عبر موجه تحقق من Cloudflare وصفحة هبوط مزيفة تحمل علامة كلود، إلى صفحة تسجيل دخول مزيفة لمايكروسوفت مصممة لاعتراض رموز الجلسة - وهي تقنية وسيط خصم (AiTM) كلاسيكية تتحايل على المصادقة متعددة العوامل .

3. مستودع ديب سيك V4 المزيف على غيت هاب وبرمجية سرقة المعلومات (24 أبريل 2026)

أظهرت هذه الحملة السرعة التي يمكن للجهات التهديدية بها استغلال ضجة الذكاء الاصطناعي لاستهداف جمهور تقني .

• السرعة والحجم: في غضون 45 دقيقة من إعلان ديب سيك عن نموذجها V4، أنشأ المهاجمون منظمة مزيفة على غيت هاب باسم "DeepSeek-V4"، مكتملة بعلامة تجارية مسروقة تبدو أصلية وبيانات أداء دقيقة . حصل المستودع على 91 نجمة (Star) وتصدر نتائج البحث في بينغ لكلمات مثل "DeepSeek v4 weights github" في غضون أربعة أيام .
• الحمولة الخبيثة: احتوت الأرشيفات المستضافة في المستودع على مُحَمِّل (Loader) يقوم بتثبيت برمجية Vidar لسرقة المعلومات، وهي أداة مصممة لسرقة بيانات الاعتماد، وكوكيز المتصفح، ومفاتيح محافظ العملات الرقمية . وجدت مايكروسوفت أن نفس بصمة المُحَمِّل (Hash) قد أُعيد استخدامها في ملفات تنتحل أدوات ذكاء اصطناعي رائجة أخرى، مثل GPT-5.5، وClaude Code، وManus AI، مما يُظهر استراتيجية إغراء قابلة للتبديل .

4. حملة الإعلانات الخبيثة Storm-3075 بتوقيع رمزي احتيالي (مارس – مايو 2026)

نُسبت هذه الحملة إلى وسيط وصول أولي يُتعقب باسم Storm-3075، واستخدمت إعلانات خبيثة لنشر برمجيات ضارة موقعة رقمياً على نطاق واسع .

• الحجم والأهداف: في 13 مارس 2026، استهدفت حملة واحدة أكثر من 66,000 جهاز عبر نوافذ منبثقة خبيثة على مواقع بث أفلام مجانية، للترويج لمنتجات وهمية مثل "Awesome AI Windows Plugin" و "Flux Pro AI" .
• الأسلوب: تم توزيع البرمجية الخبيثة بتوقيع رقمي صالح تم الحصول عليه بطرق احتيالية من خدمة تُعرف باسم Fox Tempest، وهي خدمة تقدم التوقيع الرقمي للبرمجيات الخبيثة كخدمة (Malware-signing-as-a-service). هذا جعل الملف التنفيذي يبدو شرعياً لنظام التشغيل، متجاوزاً بذلك فحوصات الثقة المعيارية . في 19 مايو 2026، رفعت مايكروسوفت دعوى قضائية ضد Fox Tempest في محكمة المقاطعة الأمريكية للمنطقة الجنوبية من نيويورك، واستولت على موقعها الإلكتروني وعطلت مئات الأجهزة الافتراضية التي كانت تدير الخدمة .

المنظومة الأوسع للاحتيال القائم على الذكاء الاصطناعي

هذه الحملات الأربع ليست حوادث منعزلة. إنها تشكل جزءاً من منظومة أوسع ومتكيفة للاحتيال القائم على الذكاء الاصطناعي، تعتمد على مجموعة من التقنيات المتطورة والقابلة لإعادة الاستخدام:

• إعادة التوجيه متعددة المراحل: كثيراً ما يوجه المهاجمون الضحايا عبر خدمات شرعية كمنصات إدارة علاقات العملاء، واختصارات الروابط، والمنصات السحابية لتجنب الاكتشاف الآلي قبل تسليم الحمولة الخبيثة النهائية .
• تسميم محركات البحث (SEO Poisoning) والمستودعات المزيفة: تسلط حملة ديب سيك الضوء على تطور خطير في هجمات سلسلة التوريد. حيث يتم تحسين صفحات ومستودعات غيت هاب الاحتيالية لمحركات البحث لتتصدر المصادر الشرعية، مستهدفة تحديداً المطورين والباحثين الذين يبحثون عن أوزان النماذج والأكواد البرمجية .
• التوقيع الرقمي للبرمجيات الخبيثة كخدمة: يكشف الإجراء القانوني ضد Fox Tempest عن بنية تحتية إجرامية محترفة تقدم شهادات توقيع رقمي صادرة بطرق احتيالية لجهات فاعلة متعددة، مما يسمح للبرمجيات الخبيثة غير الموقعة باكتساب ثقة على مستوى نظام التشغيل .
• إغراءات قابلة للتبديل: إن إعادة استخدام مُحَمِّل ثنائي واحد، وإعادة تغليفه تحت أسماء نماذج ذكاء اصطناعي مختلفة مثل GPT-5.5، وClaude Code، وKimi، وManus AI، يُظهر قدرة المهاجمين على تكييف حملاتهم الفورية لتتناسب مع الأداة التي تحظى بأكبر قدر من الاهتمام العام في أي لحظة .

لماذا يمثل هذا التحول أهمية؟

تقدر مايكروسوفت أن إغراءات الذكاء الاصطناعي "تعكس تحولاً في الهندسة الاجتماعية من المرجح أن يستمر كتكتيك طويل الأمد تستخدمه جهات التهديد، من الجماعات الإجرامية الإلكترونية إلى الدول القومية" . هذا لا يحل محل إغراءات التصيد التقليدية مثل الفواتير المزيفة أو إشعارات التسليم، بل يخلق سطح هجوم جديداً وقوياً مبنياً على الثقة والفضول الجماهيري الهائل الذي ولدته منصات الذكاء الاصطناعي، وهو خطر لم يعالجه تدريب التوعية الأمنية في العديد من المؤسسات بشكل كامل بعد . ويثير استهداف المطورين من خلال حملة ديب سيك قلقاً خاصاً، حيث يشير إلى خطر في سلسلة التوريد يقع في مرحلة سابقة لعدد لا يحصى من تطبيقات المؤسسات والأدوات الداخلية المبنية على هذه النماذج .