اختراق Cushman & Wakefield: 500 ألف سجل Salesforce وتصيد صوتي يهدد بنوك SAMA

في 5 مايو 2026، أكدت شركة العقارات التجارية العملاقة Cushman & Wakefield تعرضها لحادثة أمنية ناجمة عن هجوم تصيد صوتي (Vishing)، فيما ادّعت مجموعة ShinyHunters سرقة أكثر من 500 ألف سجل من بيئة Salesforce الخاصة بالشركة، مع إنذار نهائي بنشر البيانات بحلول 6 مايو. الحادثة لا تخص الشركة وحدها — إنها جرس إنذار لكل بنك سعودي يعتمد على Salesforce Financial Services Cloud أو أي منصة CRM سحابية في إدارة بيانات عملائه.

تشريح الهجوم: كيف تحوّل اتصال هاتفي إلى اختراق بقيمة 500 ألف سجل

وفق ما رصدته مجموعات استخبارات التهديدات، نفّذ المهاجمون مكالمات تصيد صوتي موجّهة لموظفي خدمات تقنية المعلومات والدعم الفني داخل Cushman & Wakefield، منتحلين صفة موظفين شرعيين بحاجة إلى إعادة تعيين كلمات المرور أو رموز MFA. بعد الحصول على الوصول الأولي، انتقلوا أفقياً نحو تطبيق Salesforce المتصل، ثم استخدموا واجهات Data Loader وREST API لتصدير سجلات العملاء على شكل ملفات CSV ضخمة.

المثير للقلق أن المجموعة المنافسة Qilin أدرجت الشركة على موقعها لتسريب البيانات في 4 مايو، ما يشير إلى احتمال وقوع اختراقين منفصلين متزامنين أو إعادة بيع الوصول بين مجموعات مختلفة — وهو نمط يتكرر في اقتصاد الجريمة السيبرانية كخدمة (CaaS).

لماذا أصبح Salesforce هدفاً ذهبياً لمجموعات الفدية في 2026

منصات CRM السحابية تجمع بين خاصيتين تجعلانها حلماً للمهاجمين: تركّز كميات هائلة من بيانات العملاء الحساسة في مكان واحد، وتمتلك صلاحيات تكامل واسعة مع أنظمة البريد، الفوترة، والاتصالات. عندما يحصل مهاجم على حساب مدير Salesforce، فإنه يحصل عملياً على نسخة كاملة من قاعدة عملاء الشركة — أرقام هواتف، عناوين، تفاصيل عقود، وملاحظات مبيعات حساسة.

أبرز ما رصده الباحثون في الحملات الأخيرة لـShinyHunters: استغلال صلاحيات تطبيقات Connected Apps المنسية، إساءة استخدام Data Loader، تجاوز Login IP Restrictions عبر VPN تجارية، وسحب ملفات Apex Audit Trail لإخفاء الأثر. لا يوجد استغلال لثغرة برمجية في Salesforce — بل ثغرة بشرية في عملية إعادة تعيين الهوية.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA

غالبية البنوك السعودية الكبرى تستخدم Salesforce Financial Services Cloud أو منصات CRM مماثلة لإدارة علاقات عملاء الخدمات المصرفية الخاصة، الشركات، والقروض. تسرّب مماثل في بنك خاضع لرقابة SAMA يعني انتهاكاً مباشراً لعدة بنود في إطار SAMA Cyber Security Framework، وعلى رأسها:

• الضابط 3.3.5 (Identity & Access Management): يتطلب تحقّقاً قوياً عند إعادة تعيين بيانات الاعتماد، وهو الضابط الذي تفشل فيه عمليات Help Desk المرتكزة على الأسئلة الأمنية وحدها.
• الضابط 3.3.14 (Cyber Security Event Management): يفرض اكتشاف عمليات التصدير الجماعي غير الطبيعية من تطبيقات SaaS — وهو ما تغفل عنه أدوات SIEM التقليدية إذا لم تُغذَّ بسجلات Salesforce Event Monitoring.
• الضابط 3.3.17 (Third Party Cyber Security): ينطبق على Salesforce بوصفه مزود خدمة سحابية حرج، ويفرض مراقبة مستمرة لتكوينات الأمان وتقييمات SOC 2 السنوية.
• قانون حماية البيانات الشخصية PDPL: أي تسريب لأرقام هويات وطنية أو بيانات اتصال عملاء يستوجب إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة، تحت طائلة غرامات قد تصل إلى 5 ملايين ريال.

التوصيات والخطوات العملية لـ CISOs البنوك السعودية

1. تشديد إجراءات إعادة تعيين MFA في مكتب الخدمة: اعتماد التحقق المرئي بالفيديو أو رمز المدير المباشر (Manager Callback) بدلاً من الأسئلة الأمنية. اعتبر كل مكالمة من رقم خارجي تطلب إعادة تعيين MFA حدثاً يستوجب تذكرة ثانوية وموافقة من مدير الموظف.
2. تفعيل Salesforce Shield وEvent Monitoring: راقب تصدير أكثر من 1000 سجل في الجلسة الواحدة، الوصول من دول غير معتادة، واستخدام Data Loader من خارج قائمة عناوين IP المعتمدة.
3. تقييد Connected Apps بشكل صارم: راجع كل تطبيق متصل بـSalesforce ربع سنوياً، احذف التطبيقات غير المستخدمة منذ 90 يوماً، وفعّل OAuth Scope Restrictions على الحد الأدنى المطلوب.
4. تطبيق Login IP Ranges وSession Settings: اقصر الوصول الإداري على شبكة الشركة الداخلية أو VPN ZTNA، وقلّص مدة الجلسة إلى 30 دقيقة لحسابات Admin.
5. محاكاة هجوم تصيد صوتي على مكتب الخدمة: اطلب من فريق الاختبار الأحمر (Red Team) محاولة انتزاع إعادة تعيين MFA لحساب وهمي عالي الصلاحية كل ربع، وأعد تدريب الفريق بناءً على النتائج.
6. تكامل سجلات Salesforce مع SOC المركزي: صدّر Event Log Files إلى منصة SIEM (Splunk، Sentinel، QRadar) واكتب قواعد كشف لـMassive Data Export وSuspicious Login Geo-velocity.
7. تشفير الحقول الحساسة على مستوى المنصة: فعّل Salesforce Platform Encryption لحقول رقم الهوية، IBAN، وأرقام الجوال — ما يجعل البيانات المسرّبة قليلة القيمة دون مفاتيح KMS.

الخلاصة

اختراق Cushman & Wakefield ليس قصة عقارات — إنه نموذج مكرر سيُستخدم ضد مؤسساتنا المالية ما لم نعالج الفجوة الأكثر بدائية في دفاعاتنا: ثقة موظف في صوت بشري على الهاتف. التصدي يبدأ بإعادة هندسة عمليات إعادة التعيين، وينتهي بمراقبة سحابية متقدمة على منصات CRM التي أصبحت جوهر العلاقة مع العميل البنكي. الوقت المناسب لرفع ناضجة ضوابط الهوية والوصول كان قبل عام؛ الوقت المقبول هو الآن.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة تكوينات Salesforce وSaaS الحساسة وقدرة مكتب الخدمة على مقاومة التصيد الصوتي.