عملية رمز: الإنتربول يُفكّك شبكات الجريمة السيبرانية في الشرق الأوسط بـ 201 اعتقال

أعلن الإنتربول عن نتائج عملية «رمز» — أول حملة أمنية سيبرانية منسّقة تستهدف منطقة الشرق الأوسط وشمال أفريقيا حصرياً — أسفرت عن اعتقال 201 شخص ومصادرة 53 خادماً وتحديد أكثر من 3,800 ضحية عبر 13 دولة. العملية التي امتدت من أكتوبر 2025 حتى فبراير 2026 كشفت حجم التهديد السيبراني المتصاعد في المنطقة، وتضع المؤسسات المالية السعودية أمام تساؤلات جوهرية حول جاهزيتها الدفاعية.

تفاصيل عملية رمز وأبرز النتائج

نُفّذت العملية بتنسيق بين الإنتربول وأجهزة إنفاذ القانون في الجزائر والبحرين ومصر والعراق والأردن ولبنان وليبيا والمغرب وعُمان وفلسطين وقطر وتونس والإمارات. استهدفت الحملة ثلاثة محاور رئيسية: شبكات التصيّد الاحتيالي المُنظّم، والبرمجيات الخبيثة المُوجّهة للقطاع المالي، وعمليات الاحتيال الإلكتروني التي تستغل ثقة المستخدمين في الخدمات المصرفية الرقمية.

من أبرز الإنجازات تفكيك منصة Phishing-as-a-Service (PhaaS) في الجزائر بعد مصادرة خادمها وأجهزة الحاسوب المرتبطة بها، إضافة إلى ضبط نصوص برمجية وأدوات تصيّد جاهزة للاستخدام. شاركت شركات أمنية متخصصة مثل Group-IB وKaspersky وShadowserver Foundation وTeam Cymru وTrendAI في تزويد فرق التحقيق بالمعلومات الاستخباراتية اللازمة لتحديد الخوادم الخبيثة وتتبّع البنية التحتية للمهاجمين.

لماذا تهمّ هذه العملية المؤسسات المالية السعودية؟

رغم أن المملكة العربية السعودية لم تُذكر ضمن الدول المشاركة في عملية رمز، إلا أن النتائج تحمل دلالات مباشرة للقطاع المالي السعودي. شبكات التصيّد التي فُكّكت كانت تستهدف عملاء البنوك والمحافظ الرقمية في منطقة الخليج بأكملها، وكثير من البنية التحتية المُصادَرة كانت تُستخدم لإطلاق حملات تصيّد عابرة للحدود تستغل أسماء بنوك ومؤسسات مالية خليجية.

إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق ضوابط صارمة لمكافحة التصيّد الاحتيالي ضمن نطاق التحكم 3-3-4 (Phishing Protection)، ومتطلبات التوعية الأمنية في النطاق 3-2 (Security Awareness). كما يفرض إطار NCA ECC ضوابط إبلاغ عن الحوادث السيبرانية تتطلب من المؤسسات مشاركة مؤشرات الاختراق (IoCs) مع الجهات المختصة — وهو بالضبط نموذج التعاون الذي أثبتت عملية رمز فعاليته.

منصات التصيّد كخدمة: التهديد المتنامي في المنطقة

كشفت عملية رمز عن نضوج اقتصاد الجريمة السيبرانية في منطقة الشرق الأوسط وشمال أفريقيا. منصات PhaaS تُتيح لمجرمين بمهارات تقنية محدودة إطلاق حملات تصيّد متطورة تحاكي واجهات البنوك السعودية والخليجية بدقة عالية، مع دعم كامل للغة العربية وأرقام هواتف محلية وأسماء نطاقات مشابهة. تكلفة الاشتراك في هذه المنصات قد لا تتجاوز 200 دولار شهرياً، لكن الأضرار المالية على الضحايا تصل إلى ملايين الريالات.

ما يزيد الخطورة أن هذه المنصات باتت تدمج تقنيات تجاوز المصادقة متعددة العوامل (MFA Bypass) مثل أدوات Evilginx وModlishka التي تعمل كوسيط عكسي (Reverse Proxy) لاعتراض رموز المصادقة في الوقت الفعلي. هذا يعني أن الاعتماد على MFA وحده لم يعد كافياً لحماية الحسابات المصرفية الحساسة.

الدروس المستفادة والتوصيات العملية

1. تطبيق FIDO2/WebAuthn: انتقل من رموز OTP التقليدية إلى مفاتيح المصادقة المقاومة للتصيّد (Phishing-Resistant MFA) باستخدام معيار FIDO2 — هذا المعيار يجعل اعتراض بيانات المصادقة عبر وسيط عكسي مستحيلاً تقنياً.
2. نشر حلول DMARC وBIMI وDKIM: تأكد من تطبيق سياسة DMARC بوضع reject على جميع نطاقات مؤسستك لمنع انتحال البريد الإلكتروني، وهو متطلب صريح ضمن ضوابط SAMA CSCC للبريد الآمن.
3. مراقبة النطاقات المشابهة (Typosquatting Monitoring): استخدم أدوات مثل dnstwist أو PhishTank لرصد تسجيل نطاقات تحاكي اسم مؤسستك المالية بشكل استباقي، وأبلغ فوراً عبر قنوات NCA CERT.
4. محاكاة هجمات التصيّد الدورية: نفّذ حملات تصيّد محاكاة ربع سنوية على الأقل لقياس مستوى وعي الموظفين، مع التركيز على سيناريوهات تستغل أسماء جهات تنظيمية سعودية مثل SAMA وNCA.
5. تفعيل مشاركة معلومات التهديدات: انضم إلى منصات تبادل مؤشرات الاختراق مثل Saudi CERT ومنظومة OIC-CERT لتلقّي تنبيهات مبكرة عن حملات التصيّد التي تستهدف القطاع المالي الإقليمي.
6. مراجعة ضوابط الوصول عن بُعد: طبّق نموذج Zero Trust Network Access بدلاً من VPN التقليدي، مع فرض التحقق المستمر من هوية المستخدم وسلامة الجهاز قبل منح أي صلاحية.

الخلاصة

عملية رمز ليست مجرد خبر أمني عابر — إنها مؤشر واضح على أن الجريمة السيبرانية في منطقة الشرق الأوسط وصلت مرحلة النضج التنظيمي، مع بنية تحتية احترافية ونماذج أعمال قائمة على الخدمة (as-a-Service). المؤسسات المالية السعودية الخاضعة لرقابة SAMA تحتاج إلى تحويل هذه النتائج إلى إجراءات ملموسة: تحديث ضوابط مكافحة التصيّد، وتبنّي مصادقة مقاومة للتصيّد، وتفعيل مشاركة المعلومات الاستخباراتية مع الجهات الإقليمية والدولية.

هل مؤسستك مستعدة لمواجهة حملات التصيّد المتطورة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وقياس فعالية ضوابط مكافحة التصيّد في مؤسستك.