كيف تكتشف الرسائل الاحتيالية؟ كواليس الـ SMS Spoofing

بواسطة/

📑 تشريح رحلة الـ SMS | كيف تخترق الرسائل المزيفة هاتفك؟

عندما تتلقى رسالة نصية (SMS) على هاتفك تبدو وكأنها من بنكك المحلي أو شركة شحن عالمية، فإن غريزتك الأولى هي الثقة. فالهاتف وضعها تلقائياً داخل صندوق الرسائل الرسمي للجهة الحقيقية. لكن خلف هذه الشاشة الصغيرة تكمن بنية تحتية معقدة لشبكات الاتصال، استغل المهاجمون ثغراتها الهندسية ليمرروا لك هذا الفخ.

في هذا المقال، سنأخذك في رحلة تقنية خلف الكواليس لنكشف كيف تتحرك الرسالة المخادعة من شاشة المهاجم حتى تصل إلى جيبك، وأين تقع الدفاعات المؤسسية، وما هو دورك كخط دفاع أخير.

لمزيد من أدلة الدفاع السيبراني العملي، اختر التخصص الذي ترغب في تأمينه الآن

أمن المراسلات والخصوصية
حماية البريد الإلكتروني
حماية الهوية الرقمية
أمن الهواتف والشبكات الخلوية

🚀 المرحلة 1: الانطلاق من خادم المهاجم (بوابات الـ SMPP)

المهاجم المحترف لا يمسك بهاتف محمول ويرسل منه آلاف الرسائل؛ بل يعتمد على برمجيات وبوابات ربط رقمية تُعرف بـ SMS Gateways.

  • الآلية التقنية:يستخدم المهاجم بروتوكولاً يُدعى SMPP(Short Message Peer-to-Peer)، وهو البروتوكول القياسي المستخدم عالمياً لنقل الرسائل بين تطبيقات الحاسوب وشركات الاتصالات.
  • الثغرة (SMS Spoofing):يتيح بروتوكول SMPP للمرسل تحديد خانة “اسم المرسل” (Sender ID) يدوياً. في الحالات الطبيعية، تستخدم الشركات هذا لتكتب اسمها (مثلاً: Bank-X). أما المهاجم، فيقوم بتعديل هذا الحقل برمجياً ويكتب اسم الجهة التي يريد انتحال صفتها، دون أن يمتلك أي خط هاتف تابع لها.
  • الحظر المسبق للكلمات الحساسة (Keyword System Blocklisting): أغلب بوابات الإرسال المحترمة (SMS Gateways) تفرض قيوداً صارمة على مستوى النظام نفسه تمنع أي مستخدم عادي من كتابة أسماء معينة في خانة الـ Sender ID. على سبيل المثال: النظام يمنع تلقائياً كتابة كلمات مثل Vodafone أو Amazon أو FedEx أو DHL أو أسماء البنوك المركزية والمحلية الشهيرة. إذا حاول المهاجم إدخال هذه الأسماء، ترفض البوابة تمرير الرسالة فوراً.
  • كيف يلتف المهاجمون على هذا الحظر؟ (التزييف البصري والـ Homograph Attack): عندما يجد المهاجم أن الأسماء الصريحة محظورة، يلجأ إلى تكتيكات خبيثة لتضليل الفلتر البرمجي مع الحفاظ على خداع العين البشرية للضحية:
  • التبديل الرقمي (Character Substitution): تبديل الحروف بحروف أو أرقام مشابهة، مثل كتابة Amаzon باستبدال حرف الـ oالإنجليزي بحرف о من الأبجدية السيريلية (Cyrillic) والذي يتطابق معه شكلياً بنسبة 100% لكن النظام يقرأه كحرف مختلف تماماً فلا يمنعه الفلتر. أو كتابة Bаnk_X بدلاً من Bank_X.
  • بوابات “العالم السفلي” (Unregulated Gateways): استخدام بوابات إرسال غير مرخصة أو متواجدة في دول ذات قوانين اتصالات رخوة (Offshore SMS Providers)، حيث لا تطبق هذه البوابات أي فلاتر على الكلمات المفتاحية وتسمح للمهاجم بكتابة أي اسم يشاء مقابل مبالغ مالية أعلى.

🚨 درع المستخدم (1): حيلة “المحادثة الواحدة”

احذر تماماً: نظام التشغيل في هاتفك (أندرويد أو آيفون) يتسم بالغباء الشديد في تصنيف الرسائل؛ فهو يعتمد على “الاسم” فقط.

هذا يعني أنه إذا أرسل لك المخترق رسالة مستخدماً اسم Bank-Xالمزيف، فإن هاتفك سيقوم بدمجها تلقائياً داخل نفس المحادثة القديمة الحقيقية للبنك!وجود الرسالة داخل صندوق البنك الرسمي لا يعني أبداً أنها حقيقية.

📡 المرحلة 2: بوابات العبور وجدران الحماية (Signaling Firewalls)

بمجرد إرسال الرسالة من المهاجم، تمر عبر شركات وسيطة تُعرف بـ SMS Aggregatorsحتى تصل إلى شبكة الاتصالات الرسمية. هنا تقع المسؤولية الأولى على خطوط الدفاع للشبكة.

فلاتر منع التزييف (Anti-Spoofing Filters)

شركات الاتصالات الحديثة توظف جدران حماية متطورة لإشارات الشبكة (Signaling Firewalls) لفحص الرسائل القادمة. تعمل هذه الفلاتر عبر آليتين:

  1. فحص المسار والسرعة (Velocity & Routing Checks):يقوم الفلتر بالتحقق: “إذا كانت الرسالة تدعي أنها من البنك المحلي (X)، فلماذا تأتي عبر بوابة إرسال مجهولة من دولة أخرى؟” إذا تبيّن عدم التطابق، يتم حجب الرسالة.
  2. قوائم الحظر والسماح (Sender ID Whitelisting):تقوم البنوك والمؤسسات الكبرى بتسجيل أسمائها رسمياً لدى شركات الاتصالات، بحيث يُمنع أي وسيط أو بوابة خارجية من تمرير رسالة تحمل هذا الاسم إلا إذا كانت قادمة من الخوادم المعتمدة للبنك.

أين الثغرة إذن؟ (المسارات الرمادية – Gray Routes)

بعض الشركات الوسيطة الرخيصة أو المخترقة تستغل مسارات اتصالات دولية غير محمية جيداً (Gray Routes) لتمرير الرسائل وتجاوز فلاتر شركة الاتصالات المحلية، مستغلةً ضعف التنسيق بين الشبكات الدولية.

🏢 المرحلة 3: مركز إدارة الرسائل (SMSC) وصلاحيات الموظفين

إذا نجحت الرسالة في عبور الفلاتر، تصل إلى “مكتب البريد الرئيسي” لشبكة المحمول، وهو SMSC(Short Message Service Center). هذا السيرفر هو المسؤول عن تخزين الرسالة، والتحقق من هوية ومكان تواجد الضحية لتسليمها له.

هنا يظهر خطر داخلي حرج يتعلق بإدارة الصلاحيات:

  • صلاحيات المشرفين (Admin Access):يمتلك بعض مهندسي الشبكات صلاحيات واسعة لإنشاء مسارات افتراضية وتوجيه حركة البيانات داخل الـ SMSC.
  • حسابات فريق الاختبار (Purple Team / QA):تمتلك فرق فحص الجودة والأمن السيبراني صلاحيات لمحاكاة إرسال رسائل واختبار كفاءة الشبكة. إذا تم اختراق حساب أحد هؤلاء الموظفين، أو ساءت إدارة الصلاحيات الداخلية، يمكن للمهاجم استغلال هذه الحسابات الموثوقة لإرسال رسائل احتيالية بأي اسم ولأي محتوى، متجاوزاً كافة الفلاتر الأمنية لأن الرسالة تخرج من “قلب النظام” نفسه.

الحل المؤسسي: السجلات غير القابلة للتعديل (Immutable Logs)

لحماية هذه المرحلة من التلاعب الداخلي أو الخارجي، يجب على شركات الاتصالات:

  • ترحيل السجلات لحظياً (Real-time Streaming):نقل كافة ملفات اللوج (Logs) الخاصة بالـ SMSC وبوابات الإرسال فوراً وبشكل آلي إلى سيرفرات مراقبة أمنية خارجية منفصلة تماماً (SIEM Systems).
  • تقنية WORM (Write Once, Read Many):إعداد السجلات بحيث تكون غير قابلة للتعديل أو المسح. حتى لو نجح مخترق أو موظف متلاعب في تعديل البيانات على السيرفر الرئيسي لإخفاء أثره، تظل النسخة الخارجية المحفوظة دليلاً دامغاً يكشف التلاعب أثناء التدقيق الأمني المباشر.

📱 المرحلة 4: الاستلام والمواجهة (أنت خط الدفاع الأخير)

بعد أن يحدد الـ SMSC مكانك، يرسل الرسالة عبر أقرب برج هوائي إلى هاتفك. يستقبلها معالج الهاتف، ويزقّها نظام التشغيل إلى شاشتك بصوت تنبيه مألوف. هنا تنتهي التكنولوجيا، وتبدأ الهندسة الاجتماعية.

المهاجم يراهن في هذه اللحظة على بث “الذعر” أو “الطمع” في نفسك لكي تكسر حذرك.

🛡️ درع المستخدم (2): تكتيك “كسر التدفق الطبيعي”

المؤسسات الحقيقية لها سلوك معتاد (Flow) في التعامل معك. البنك يرسل لك كود الـ OTP عندما تطلب أنت سحب أو تحويل أموالك. شركة الشحن تراسلك عندما تشتري شيئاً بالفعل.

القاعدة الذهبية: إذا وصلتك رسالة خارج سياق تعاملاتك الحالية (مثلاً: “تم إيقاف حسابك البنكي حدّث بياناتك فورا”، أو “شحنتك معطلة ادفع دولاراً لشحنها”)، فهذا كسر للتدفق الطبيعي ومؤشر خطر بنسبة 100%.توقف فوراً ولا تتفاعل.

🛡️ درع المستخدم (3): الأسرار لا تُطلب أبداً

ضعها قاعدة راسخة في ذهنك: لا توجد جهة حكومية، أو بنك، أو شركة اتصالات في العالم ستطلب منك إملاءها كلمة السر، أو كود الـ OTP المكون من 6 أرقام، أو الرقم السري للبطاقة (CVV) عبر مكالمة أو رابط.

الموظف الحقيقي يمتلك صلاحيات على النظام تغنيه عن سؤالك. إذا طُلب منك أي من هذه الأسرار، فأنت أمام محتال حتماً دون أدنى شك.

🔒 خلاصة مختبر ديجيتال شيلد للمقال الأول:

تزييف الرسائل النصية ليس سحراً، بل هو استغلال لثغرات في بروتوكولات الاتصال القديمة وضَعفٍ في رقابة الصلاحيات الداخلية. بينما تسعى شركات الاتصالات لسد هذه الثغرات عبر فلاتر الـ Anti-Spoofing والسيرفرات الخارجية لحفظ السجلات، تذكر دائماً: المخترق لا يمكنه إيذائك بمجرد إرسال الرسالة، هو يحتاج إلى “موافقتك” بالضغط على الرابط أو تسليم السر.

في المقال القادم من السلسلة، سننتقل إلى مستوى أخطر: عندما يختفي برج الاتصال الحقيقي، ويحل محله برج مزيف في الشارع يتجسس على هوائك مباشرة (IMSI Catchers).. انتظرونا.

لمزيد من أدلة الدفاع السيبراني العملي، اختر التخصص الذي ترغب في تأمينه الآن

أمن المراسلات والخصوصية
حماية البريد الإلكتروني
حماية الهوية الرقمية
أمن الهواتف والشبكات الخلوية

المحتويات إخفاء
1 📑 تشريح رحلة الـ SMS | كيف تخترق الرسائل المزيفة هاتفك؟
2 🚀 المرحلة 1: الانطلاق من خادم المهاجم (بوابات الـ SMPP)
2.1 🚨 درع المستخدم (1): حيلة “المحادثة الواحدة”
3 📡 المرحلة 2: بوابات العبور وجدران الحماية (Signaling Firewalls)
3.1 فلاتر منع التزييف (Anti-Spoofing Filters)
3.2 أين الثغرة إذن؟ (المسارات الرمادية – Gray Routes)
4 🏢 المرحلة 3: مركز إدارة الرسائل (SMSC) وصلاحيات الموظفين
4.1 الحل المؤسسي: السجلات غير القابلة للتعديل (Immutable Logs)
5 📱 المرحلة 4: الاستلام والمواجهة (أنت خط الدفاع الأخير)
5.1 🛡️ درع المستخدم (2): تكتيك “كسر التدفق الطبيعي”
5.2 🛡️ درع المستخدم (3): الأسرار لا تُطلب أبداً
6 🔒 خلاصة مختبر ديجيتال شيلد للمقال الأول:

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

Scroll to Top