اختراق Kraken عبر التهديد الداخلي: حين يُجنَّد موظف الدعم بـ 15,000 دولار — تحذير عاجل لمسؤولي الأمن في المؤسسات المالية السعودية

في الثالث عشر من أبريل 2026، أعلن كبير مسؤولي الأمن في منصة تداول العملات المشفرة Kraken، Nick Percoco، أن مجموعة إجرامية تابطت مع موظفين في فريق دعم العملاء وتهدد الآن بنشر مقاطع فيديو تُظهر وصولاً غير مصرح به إلى أنظمة داخلية تحتضن بيانات العملاء. القضية ليست مجرد حادثة معزولة في عالم الكريبتو — بل هي دليل موثق على أن التهديد الداخلي المُموَّل جنائياً بات أداة هجومية منظمة تستهدف القطاع المالي بأكمله.

ما حدث في Kraken: تسلسل الحوادث

استناداً إلى التصريحات الرسمية، رصدت Kraken حادثتَي وصول غير مصرح به؛ الأولى في فبراير 2025 والثانية أحدث منها، وكلتاهما استُغِلّت عبر موظفين في مراكز دعم العملاء جرى تجنيدهم من خلال إعلانات على الشبكة المظلمة (Darknet). هذه الإعلانات كانت تعرض مبالغ تتراوح بين 3,000 و15,000 دولار مقابل توفير وصول أو تسريب بيانات، بحسب مستوى صلاحيات الموظف المستهدف. قدّر التحقيق الداخلي أن نحو 2,000 حساب عميل طُلّع عليها، أي ما يعادل 0.02% من قاعدة مستخدمي المنصة. رفضت Kraken الخضوع للابتزاز وأعلنت تعاونها مع الجهات التنفيذية الفيدرالية، مؤكدةً أن الأموال لم تتأثر وأن الأنظمة الجوهرية لم تُخترق.

لماذا يختلف هذا النمط عن الاختراق الاحتيالي التقليدي؟

الهجمات التقليدية تستهدف الثغرات التقنية — ثغرة في كود أو بروتوكول غير مُرقَّع. أما ما نشهده هنا فهو استثمار ممنهج في العامل البشري: المهاجم لا يحتاج إلى كسر بروتوكول مصادقة معقد، بل يكفيه إقناع مدير دعم بالضغط على مفتاح التصدير. هذا يجعل أدوات الكشف التقليدية مثل IDS/IPS وجدران الحماية عديمة الأثر في مرحلة التسلل الأولى، لأن الوصول نفسه مشروع — لكن النية إجرامية. ما يُقلق أكثر أن المجموعة وثّقت العملية بمقاطع فيديو، وهو ما يشير إلى جاهزية منهجية لعمليات الابتزاز المزدوج.

التأثير على المؤسسات المالية السعودية الخاضعة لرقابة SAMA

لا تختلف مراكز دعم العملاء في البنوك السعودية وشركات التأمين وجهات السداد عن نظيرتها في Kraken من حيث البنية التنظيمية: وصول إلى بيانات الحسابات، وسجلات المعاملات، والمراسلات الداخلية. متطلبات SAMA CSCC — تحديداً ضوابط 5.3 (إدارة الهوية والوصول) و7.4 (التهديدات الداخلية) — تفرض صراحةً توثيق عمليات وصول الموظفين وتطبيق مبدأ الحد الأدنى من الصلاحيات (Least Privilege). كذلك تشترط NCA ECC في ضوابط IAM-1-3 مراجعة دورية لحسابات الوصول المميز. أما نظام PDPL السعودي، فيُلزم المؤسسات بإبلاغ الجهات المختصة عن أي تسريب غير مصرح به خلال 72 ساعة، وهو ما يستوجب وجود آليات كشف فعّالة قبل وقوع الحادثة لا بعدها.

التوصيات والخطوات العملية

1. تطبيق تحليل السلوك (UEBA): أدوات مثل Microsoft Sentinel وSplunk UBA وVaronis تكشف الأنماط الشاذة في وصول الموظفين — تنزيل كميات غير مألوفة من السجلات، تصفح ملفات خارج نطاق مهام الوظيفة، أو الوصول في أوقات غير اعتيادية.
2. مراجعة فورية لصلاحيات فرق الدعم: هل يحتاج موظف الدعم الأول (Tier-1) إلى الوصول لبيانات العملاء كافة؟ طبّق نموذج Just-in-Time Access — الصلاحية تُمنح عند الطلب وتنتهي تلقائياً.
3. الإبلاغ الاستباقي للموارد البشرية وفريق الأمن: أنشئ قناة آمنة مجهولة للإبلاغ عن محاولات الاستمالة — تحديداً في مراكز الاتصال والعمليات المشتركة مع طرف ثالث.
4. محاكاة سيناريوهات التهديد الداخلي: أدرج Red Team exercises تحاكي موظفاً يُجنَّد لتسريب بيانات — وقِس الوقت اللازم للكشف والاستجابة.
5. مراجعة عقود مزودي خدمات الدعم الخارجيين (BPO): إذا كانت عمليات الدعم مُودَعة لدى طرف ثالث، فالحادثة تستوجب تفعيل بنود Third-Party Risk Management وفق SAMA CSCC المجال 7.
6. التوثيق المستمر لجلسات الوصول المميز (PAM): أدوات مثل CyberArk وBeyondTrust تتيح تسجيل الجلسات وربطها بالهوية — أي موظف يعلم أن كل نقرة موثقة سيُفكّر مرتين قبل التجاوب مع عرض من الشبكة المظلمة.

الخلاصة

حادثة Kraken تُذكّرنا بأن أكثر الاختراقات فاعلية في 2026 لا تبدأ من ثغرة صفرية — بل تبدأ من رسالة واتساب وعرض مالي. المؤسسة التي تستثمر في أدوات UEBA وPAM وثقافة الإبلاغ الاستباقي تُقلّص سطح هذا الهجوم إلى حد بعيد. الامتثال لـ SAMA CSCC وNCA ECC ليس عبئاً إدارياً — بل هو الحاجز الذي يفرق بين موظف يُبلّغ عن محاولة الاستمالة وموظف آخر يستجيب لها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة ضوابط إدارة الوصول المميز والتهديدات الداخلية.