هجمات ClickFix ترتفع 517% — تهديد عاجل للمؤسسات المالية السعودية

ارتفعت هجمات ClickFix بنسبة 517% خلال العام الماضي وفق تقارير Infosecurity Magazine، لتتحول من تكتيك هامشي إلى ثاني أكثر تقنيات الاختراق شيوعاً بعد التصيد التقليدي. وما يجعل هذا التهديد استثنائياً أن الضحية هي من تُصيب جهازها بنفسها — بلا ملف مرفق، بلا رابط مشبوه، بلا ثغرة تقنية. كل ما يحتاجه المهاجم هو Ctrl+C ثم Ctrl+V.

ما هي هجمات ClickFix وكيف تعمل؟

ClickFix تقنية هندسة اجتماعية تعتمد على رسالة مزيفة تظهر للمستخدم في المتصفح أو تطبيق ويب، تُخبره بوجود "خطأ تقني" أو "تحديث أمني مطلوب" أو "تحقق من أنك لست روبوتاً". تطلب منه الرسالة نسخ أمر ولصقه في Windows Run أو PowerShell أو cmd لـ"إصلاح المشكلة". الأمر المنسوخ يبدو بسيطاً، لكنه في الحقيقة يُحمّل مباشرةً من الإنترنت برامج ضارة كـXWorm وLumma Stealer وLampion Banking Trojan. في فبراير 2026 كشف Microsoft عن نسخة أحدث تستخدم أمر nslookup لاسترجاع الحمولة الضارة عبر DNS — مما يُعقّد اكتشافها بأدوات فحص الشبكة التقليدية.

لماذا يتجاوز ClickFix أدوات الأمان التقليدية؟

المشكلة الجوهرية أن الهجوم لا يستغل ثغرة برمجية، بل يستغل ثقة المستخدم بنفسه. لا يوجد ملف قابل للفحص قبل التنفيذ، ولا يمر الاستدعاء عبر مسارات الشبكة التي تراقبها جدران الحماية في الغالب. أدوات EDR مثل CrowdStrike وSentinelOne قادرة على رصد العملية بعد بدء التنفيذ، لكن تقارير Barracuda Managed XDR لأبريل 2026 تُشير إلى أن سرعة الهجوم عالية جداً — فبمجرد تشغيل الأمر تنطلق سلسلة التثبيت في ثوانٍ. كما أن كيت التصيد الجديد "Venom Stealer" يُتيح للمهاجمين أتمتة حملات ClickFix على نطاق واسع بتكلفة منخفضة جداً، مما ضاعف انتشارها بشكل درامي خلال الأشهر الستة الماضية.

التأثير على المؤسسات المالية السعودية

القطاع المالي السعودي مستهدف بشكل خاص لأن موظفيه يتعاملون يومياً مع بوابات إلكترونية متعددة، وأنظمة مصادقة، وتطبيقات ويب متنوعة — وهي بيئة مثالية لاستخدام رسائل ClickFix المزيفة. تقارير 2025 وثّقت حملات ClickFix استهدفت مباشرةً مؤسسات مالية في منطقة الشرق الأوسط لنشر Lampion Banking Trojan، المصمم خصيصاً لسرقة بيانات الخدمات المصرفية الإلكترونية. من منظور الامتثال التنظيمي، يُعدّ هذا النوع من الهجمات مصدر قلق مباشر لمتطلبات SAMA CSCC المتعلقة بالتوعية الأمنية (المجال 4) والحماية من التهديدات (المجال 2)، فيما يستوجب نظام NCA ECC توثيق آليات الكشف عن هجمات الهندسة الاجتماعية ضمن برامج الوعي الأمني الإلزامية. أي سرقة لبيانات العملاء الناجمة عن هجوم ClickFix ناجح ستستلزم إشعاراً رسمياً وفق نظام PDPL خلال 72 ساعة من اكتشاف الخرق.

التوصيات والخطوات العملية

1. تحديث برامج الوعي الأمني فوراً: أضف سيناريو ClickFix إلى بيئات محاكاة التصيد (KnowBe4 وProofpoint وما شابهها) واختبر موظفيك مع رسائل "إصلاح خطأ المتصفح" و"التحقق الأمني".
2. قيّد تنفيذ PowerShell وcmd للمستخدمين العاديين: فعّل سياسة PowerShell Constrained Language Mode وطبّق AppLocker أو WDAC لمنع تنفيذ أوامر غير موقّعة، لا سيما من مسارات Temp وDownloads.
3. راقب DNS للأوامر غير الاعتيادية: نشر ClickFix الأخير يعتمد على nslookup لاسترجاع حمولته. فعّل DNS Filtering عبر أدوات مثل Cisco Umbrella أو Cloudflare Gateway لحجب النطاقات الضارة المعروفة.
4. فعّل EDR مع استجابة تلقائية: اضبط قواعد حماية تلقائية تعزل الجهاز فور رصد تنفيذ PowerShell مع استدعاء شبكي لعناوين IP خارجية غير معروفة.
5. راجع إعدادات المتصفح المؤسسي: استخدم Group Policy لمنع تنفيذ JavaScript غير الموثوق، وفعّل حماية Enhanced Safe Browsing في Chrome أو حماية مماثلة في Edge.
6. وثّق حوادث ClickFix ضمن سجل إدارة الحوادث: أي محاولة مرصودة تستوجب تسجيلاً رسمياً وفق متطلبات SAMA CSCC للحوادث السيبرانية.

الخلاصة

ClickFix ليس مجرد تكتيك تصيد جديد — إنه تحوّل جذري في أسلوب الهجوم نحو استغلال السلوك البشري بدلاً من الثغرات التقنية. ارتفاع 517% في أقل من عام يُشير إلى أن المهاجمين وجدوا فيه أداة فعّالة وقابلة للتوسع. المؤسسات المالية السعودية التي تعتمد فقط على EDR وجدار الحماية دون تحديث برامج الوعي الأمني ستجد نفسها أمام حادثة اختراق كان يمكن منعها بتدريب واحد.

هل مؤسستك محمية من هجمات الهندسة الاجتماعية المتطورة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديث برنامج الوعي الأمني لديك.