كشفت تقارير حديثة عن ظهور منصة إجرامية سيبرانية جديدة باسم “ATHR”، تعمل على تسهيل تنفيذ هجمات التصيد عبر الهاتف (Vishing) على نطاق واسع. بدلاً من الاعتماد على الروابط الخبيثة أو المرفقات المصابة، تستخدم هذه المنصة رسائل بريد إلكتروني تبدو طبيعية تحتوي على رقم هاتف فقط، حيث يتم توجيه المستخدم عند الاتصال به إلى فخ مصمم بعناية، مما يؤدي إلى سرقة بيانات الاعتماد واختراق الحسابات.
يُطلق على هذه الطريقة اسم “هجمات توصيل التهديدات عبر الهاتف” (TOAD)، حيث لا يحدث الجزء الخطر في البريد الإلكتروني نفسه، بل عبر المكالمة الهاتفية. يتصل الضحية برقم يعتقد أنه تابع لشركة موثوقة، ويقوم شخص على الطرف الآخر بخداعه للكشف عن معلومات حساسة أو تثبيت برامج للوصول عن بعد. ونظراً لعدم احتوائها على روابط أو ملفات خبيثة، فإن معظم فلاتر البريد الإلكتروني لا تكتشفها.
منصة ATHR ترفع من مستوى هجمات التصيد الصوتي
تم رصد منصة ATHR من قبل محللين وباحثين متخصصين في الأمن السيبراني، حيث أصدروا نتائج مفصلة حولها في 16 أبريل 2026. وبين الباحثون أن ATHR ليست مجرد مجموعة أدوات تقليدية للتصيد، بل هي نظام هجوم متكامل يتكون من أربعة مكونات رئيسية تعمل معاً: مرسل بريد إلكتروني مدمج، وكيل صوتي مدعوم بالذكاء الاصطناعي، ولوحة حصاد بيانات اعتماد في الوقت الفعلي، ومساحة عمل موحدة للمشغل.
تدعم المنصة لوحات حصاد بيانات الاعتماد لثماني علامات تجارية رئيسية، تشمل Coinbase، Binance، Gemini، Crypto.com، Google، Microsoft، Yahoo، و AOL. عندما يتصل الضحية، يقوم وكيل الذكاء الاصطناعي بالتحدث إليه، بينما يمكن للمشغل في الوقت نفسه إعادة توجيهه إلى صفحة تسجيل دخول وهمية تلتقط البريد الإلكتروني وكلمة المرور. أظهرت لوحة التحكم الحية في وقت الكشف عن المنصة 243 تفاعلاً و12 جلسة نشطة، مما يدل على مدى نشاط هذه العمليات.
وكيل ATHR المدعوم بالذكاء الاصطناعي: قلب الهجوم
الميزة الأكثر تميزاً في ATHR هي وكيلها المدمج للتصيد الصوتي، الذي ينفذ الهندسة الاجتماعية القائمة على الصوت دون الحاجة إلى متصل بشري. عند الاتصال بالرقم الموجود في البريد الإلكتروني الاحتيالي، يجيب وكيل الذكاء الاصطناعي ويتبع نصاً منظماً ومتعدد الخطوات. يبدأ بالتحقق من صحة الرد، ثم يصف نشاطاً مشبوهاً على الحساب، ويطلب من الضحية تأكيد رقم هاتف، ليبدأ عملية استعادة وهمية، وينتهي بطلب رمز تحقق سداسي الأرقام. يحتوي النص على 10 أقسام إجمالاً.
يعمل الوكيل على محرك تحويل النص إلى كلام مخصص يسمى ATHR TTS، مستخدماً نموذجاً يسمى Sonic 3. الصوت واضح وطبيعي، ومصمم ليبدو كمكالمة دعم حقيقية من شركة معروفة. هذا ما يجعله خطيراً للغاية، فالصوت الاحترافي والبريد الإلكتروني الذي يبدو كإشعار حقيقي يقلل من شكوك الضحية.
يتم إنشاء رسائل البريد الإلكتروني باستخدام مرسل NFA يقوم بتزييف أسماء المرسلين لتتناسب مع العلامات التجارية الموثوقة. على سبيل المثال، يرسل قالب مُعد مسبقاً لـ Google بريداً باسم “تنبيه أمني: تم قفل الحساب مؤقتاً” مع 10 حقول قابلة للتخصيص.
سبل الحماية والوقاية
للحماية من هجمات TOAD المدعومة بـ ATHR، يجب تدريب المستخدمين على عدم الاتصال أبداً بالأرقام الموجودة في رسائل التنبيه الأمني غير المتوقعة، والتحقق من أي تنبيه عبر الموقع الرسمي مباشرة. ينبغي لفرق الأمن مراقبة الأنماط غير العادية في نشاط البريد الإلكتروني الوارد، مثل تلقي عدة مستلمين في المؤسسة رسائل تحتوي على نفس رقم الهاتف المضمن خلال فترة زمنية قصيرة.
نظراً لأن رسائل ATHR الاحتيالية يمكنها تجاوز فحوصات SPF وDKIM وDMARC، فإن الاعتماد فقط على إشارات المصادقة التقنية غير كافٍ. يُعد الكشف القائم على الذكاء الاصطناعي السلوكي، الذي يرسم أنماط الاتصال الطبيعية لكل مستخدم ومرسل، مناسباً لتمييز هذه الحالات الشاذة قبل أن يقوم أي شخص بإجراء مكالمة.