تيل كيل عربي

موقع "تحدي" تحت مجهر الأمن السيبراني.. منصة مشبوهة بأنشطة تصيد احتيالي

تكنولوجيا وعلوم
السبت 10 مايو 2025 - 13:19
تيل كيل عربي

كشف المستشار والخبير في مجال الهندسة الاجتماعية والأمن الرقمي، حسن خرجوج، في تصريح لـ"تيلكيل عربي"، أن الموقع المعروف باسم "tahadi.info"، والذي يديره هشام جيراندو، صنف من طرف منصة "Criminal IP" الدولية كأحد مواقع التصيّد الاحتيالي (Phishing).

وأوضح أن "هذا التصنيف جاء عقب تحليل تقني دقيق كشف مؤشرات واضحة على وجود نشاطات رقمية مشبوهة تهدف إلى سرقة بيانات المستخدمين الشخصية والمالية".

مؤشرات تقنية تنبّه إلى نشاط مريب

وأشار خرجوج إلى أن "تقرير التحليل، الصادر بتاريخ 8 ماي 2025 على الساعة 14:29، كشف عن عنوان رقمي (IP) مرتبط بالموقع، وهو 217.77.11.31، وأبرز عدة مؤشرات مثيرة للقلق، من بينها:

  • درجة الخطورة الواردة (Inbound): حرجة
  • درجة الخطورة الصادرة (Outbound): متوسطة
  • خادم الموقع: Apache
  • الموقع الجغرافي للخادم: الولايات المتحدة – سانت لويس
  • شهادة SSL: صادرة عن Let's Encrypt
  • اسم النطاق الظاهر في الشهادة: cpanel.tahadi.info

وسجل "غياب أي معلومات عن مالك النطاق أو الدولة ضمن بيانات الشهادة".

وأكد خرجوج أن هذه المعطيات تظهر وجود محاولات متعمدة لإخفاء هوية الموقع الحقيقية، وهي ممارسة شائعة في الأوساط التي تدير حملات تصيد أو تسعى إلى جمع بيانات دون علم المستخدمين".

منصة زائفة بواجهة دعم مالي

وحسب  Criminal IP يعتمد الموقع على واجهة إعلامية تبدو مستقلة، يُروج لها باعتبارها منصة بحاجة إلى "دعم مالي" من الزوار، إلا أن ما يجري في الخلفية، هو "جمع لبيانات شخصية حساسة من المستخدمين دون أي توضيح لمصيرها أو كيفية حمايتها".

وأشار إلى أن صفحة الدعم الظاهرة على الرابط (..) تطلب من المستخدمين تقديم معلومات خاصة تشمل:

  • الاسم الكامل
  • البريد الإلكتروني
  • رقم الهاتف
  • أحيانا وثائق إثبات الهوية أو دلائل على التحويل المالي

كيف يراقب الموقع المستخدمين دون علمهم؟

أكد خرجوج أن الموقع يستخدم تقنيات خفية لجمع البيانات، من بينها:

  • Tracking Scripts: تتابع معلومات الأجهزة وأنواع المتصفح والموقع الجغرافي
  • Keyloggers: برامج خبيثة لتسجيل كل ما يكتبه المستخدم
  • Cookies متقدمة: تُستخدم لتكوين ملف شخصي رقمي عن سلوك المستخدم

وأشار إلى أن هذه البيانات ترسل غالبا إلى خوادم أجنبية دون إشعار المستخدم أو تقديم شروط خصوصية واضحة.

السوق السوداء الرقمية

أوضح الخبير السيبراني أن المعطيات المسروقة قد تُستخدم في سرقة الهوية الرقمية، والابتزاز الإلكتروني، وقرصنة الحسابات البنكية أو المحافظ الرقمية، وبيع البيانات على الإنترنت المظلم

كل ذلك، بحسب خرجوج، يتم في غياب تام لأي سياسة خصوصية أو إطار قانوني معلن يضبط العلاقة بين المستخدم والمنصة.

معاينة الصور والتحليل الأمني

عند تحليل الموقع عبر منصة "Criminal IP"، تُظهر النتائج أن الموقع:

  • يستقبل اتصالات حرجة (Inbound: Critical)
  • يُرسل بيانات إلى وجهات خارجية بتصنيف متوسط الخطورة (Outbound: Moderate)

كما أن شهادة SSL ترتبط بنطاق فرعي غير مألوف: cpanel.tahadi.info، مما يشير إلى احتمال استغلال لوحة تحكم خادم الموقع في إدارة محتواه.

وأبرز أنه في شفرة الموقع، وجدت عناصر HTML مشبوهة مثل iframe، وpassword-input، وtrackers، ما يعزز فرضية استغلالها في التصيّد.

تأكيد آخر

وحللت منصة "VirusTotal" المتخصصة في الأمن السيبراني الموقع المذكور، وجاءت النتيجة مطابقة للتحليل السابق، حيث تم تصنيفه كموقع تصيد (Phishing) من طرف خدمة "Criminal IP"، إحدى أبرز الجهات الأمنية المساهمة في المنصة، التي تعتمد على أكثر من 90 مزودا لتحليلات الحماية.

تحذير صريح للمستخدمين

ودعا حسن خرجوج جميع المستخدمين إلى عدم الدخول للموقع، وعدم تقديم أي معلومة شخصية أو مهنية، مشددا على ضرورة استخدام أدوات تحقق مثل VirusTotal وURLScan قبل زيارة أي موقع مشكوك فيه.

وأوصى بالإبلاغ عن المنصات المشبوهة للجهات المختصة في المغرب، مثل CERT-MA، أو عبر خدمات الحماية الرقمية العالمية مثل PhishTank وGoogle Safe Browsing.

السمات ذات صلة

مواضيع ذات صلة