أطلقت حملة إلكترونية واسعة النطاق تُعرف باسم “ClickFix”، تقوم بسرقة بيانات اعتماد حسابات فيسبوك عبر خداع المستخدمين وتسليمهم رموز الجلسة الخاصة بهم.
تعتمد هذه الحملة على الهندسة الاجتماعية بدلاً من البرمجيات الخبيثة أو الاختراقات المعقدة، لتوجيه الضحايا عبر عملية تحقق وهمية.
شهدت حملة ClickFix نمواً ملحوظاً منذ أوائل عام 2025، وتستهدف بشكل خاص صناع المحتوى وأصحاب صفحات الأعمال الذين يسعون للحصول على شارات التحقق من فيسبوك.
تعمل هجمات ClickFix على الجمع بين الثقة والإلحاح؛ حيث يتلقى الضحايا رسائل حول شارات تحقق مجانية أو مراجعات عاجلة للحسابات. عند النقر على الرابط، يصلون إلى صفحة تشبه تماماً مركز المساعدة الرسمي أو بوابة التحقق الخاصة بفيسبوك.
حملة ClickFix تحاكي طرق التحقق لسرقة بيانات فيسبوك
توضح الصفحة أن المستخدم قد تم اختياره للتحقق أو أن حسابه يخضع لانتهاكات السياسات، مما يفرض ضغطاً للتصرف بسرعة.
بمجرد الدخول إلى الصفحة الوهمية، يتم توجيه الضحايا عبر عملية متعددة المراحل تبدو شرعية، ولكنها مصممة لاستخلاص رموز المصادقة الخاصة بهم.
يقوم المهاجمون بعرض مقاطع فيديو تعليمية تشرح كيفية الوصول إلى أدوات المطورين في المتصفح ونسخ رموز جلسة فيسبوك، وبالتحديد القيم المسماة “c_user” و “xs”. ويُطلب من المستخدمين أن هذه خطوة تحقق عادية وضرورية لتأكيد هويتهم.
حدَّث محللو وباحثو Hunt.io هذه الحملة بعد أن نشرت Unit42 Threat Intelligence تقريراً عنها لأول مرة في ديسمبر 2025. وكشف التحقيق أن المهاجمين أنشأوا ما لا يقل عن 115 صفحة تصيد احتيالي مميزة وثمانية نقاط لجمع البيانات.
الحملة نشطة منذ يناير 2025، وتستهدف بشكل أساسي صناع المحتوى، والصفحات المدرة للدخل، والشركات التي تسعى للحصول على حالة التحقق.
رمز جلسة واحد مسروق يمنح المهاجمين سيطرة كاملة على الحساب، مما يمكنهم من تغيير كلمات المرور، وسرقة معلومات الدفع، وانتحال صفة الضحية.
البنية التحتية وراء هذه الحملة موزعة بشكل متعمد عبر منصات استضافة متعددة لتجنب الكشف.
تُستضاف صفحات التصيد الاحتيالي على خدمات مثل Netlify، Vercel، Wasmer، GitHub Pages، Surge، وغيرها من الخدمات سهلة الاستغلال. وعندما يتم إغلاق صفحة ما، يقوم المهاجم ببساطة بنشر صفحة جديدة في غضون دقائق.
يتم إرسال رموز الجلسة المسروقة إلى نقاط جمع بيانات منفصلة مدعومة بخدمات مثل Formspark و submit-form.com، والتي تكون منفصلة عن صفحات التصيد نفسها.
آلية هجوم ClickFix
تبدأ آلية الإصابة بسلسلة إعادة توجيه مصممة لتبدو سلسة. قد ينقر المستخدمون على رابط من وسائل التواصل الاجتماعي يعد بشارة زرقاء مجانية أو يدعي أن صفحتهم قد تم وضع علامة عليها.
تعرض الصفحة الأولية شاشة تحقق متحركة مع مؤثرات صوتية ورسوم متحركة موقوتة لبناء المصداقية.
عند اكتمال الرسوم المتحركة، يتم إعادة توجيه الضحية تلقائياً إلى صفحة ثانية تحاكي تماماً علامة فيسبوك التجارية، بما في ذلك الشعارات والألوان واللغة الرسمية.
في هذه المرحلة، تدفع التحذيرات الحمراء البارزة والرسائل الملحة المستخدم إلى الاستمرار.
تعرض الصفحة أزراراً مثل “مطلوب اتخاذ إجراء” ومؤقتات العد التنازلي لتحفيز الاستجابات الفورية.
يُقدم للضحية مقطع فيديو تعليمي موجه يشرح بشكل صريح عملية الاستخراج اليدوي. يوضح الفيديو كيفية فتح أدوات المطورين في المتصفح، والانتقال إلى علامة التبويب “Storage” أو “Application”، ونسخ قيم ملفات تعريف الارتباط للجلسة بالضبط.
هذه هي الخطوة الحاسمة حيث يسلم الضحايا طواعية رموز المصادقة الخاصة بهم.
بمجرد إدخال الضحية لقيم c_user و xs في حقل النموذج، يقوم رمز JavaScript بالتحقق من صحة الرموز في الوقت الفعلي لضمان مطابقتها لأنماط جلسة فيسبوك الشرعية.
يقلل هذا الترشيح من الضوضاء على الواجهة الخلفية للمهاجم ويضمن التقاط الجلسات الصالحة والقابلة لإعادة الاستخدام فقط.
يتضمن البرنامج التعليمات التي تخبر الضحايا بعدم تسجيل الخروج لمدة 24 ساعة، مما يحافظ على صلاحية ملفات تعريف الارتباط المحصودة لفترة كافية للاستيلاء على الحساب فوراً.
إذا نجحت سرقة الجلسة الأولية، يحصل المهاجم على وصول فوري إلى الحساب ويمكنه البدء في إجراء التغييرات.
ومع ذلك، إذا فشلت الجلسة المسروقة لاحقاً، يكون لدى الهجوم خيارات احتياطية. حيث تقدم صفحة التحقق الوهمية مراحل حصاد إضافية حيث يُطلب من الضحايا تقديم رموز احتياطية أو استرداد.
بعد جمع هذه الرموز، يظهر مربع حوار يدعى أن هناك حاجة إلى مصادقة إضافية باستخدام كلمة المرور.
هذا الطلب النهائي يخدع المستخدمين لتسليم كلمات مرور فيسبوك الفعلية الخاصة بهم، مما يكمل سلسلة حصاد بيانات الاعتماد الكاملة والتي تمنح المهاجمين طرقاً متعددة لاستعادة الوصول حتى لو أصبح رمز الجلسة غير صالح.
تابعونا على Google News، LinkedIn، و X للمزيد من التحديثات الفورية، اجعلوا CSN مصدراً مفضلاً في Google.