كشف تقرير تقني عن موجة جديدة من الهجمات السيبرانية استغلت ميزة إشعارات البريد الإلكتروني المدمجة في منصة Atlassian Jira Cloud، بهدف تمرير رسائل احتيالية واسعة النطاق. واعتمد المهاجمون في هذه الحملة على إرسال رسائل تبدو صادرة من نطاقات Jira المشروعة، منحتها موثوقية تقنية عالية مكنتها من تجاوز أنظمة الحماية التقليدية والوصول إلى صناديق الوارد الخاصة بالضحايا.
تكمن خطورة هذه الهجمات في خروج الرسائل من البنية التحتية التابعة لشركة Atlassian نفسها، وهو ما يعني نجاحها في اختبارات التحقق الرقمي المعتادة. وعادة ما تعتمد أنظمة البريد في المؤسسات على مؤشرين أساسيين لتقييم مصداقية الرسالة؛ الأول هو SPF، وهو سجل يحدد الخوادم المصرح لها بالإرسال باسم نطاق معين، والثاني هو DKIM، الذي يمثل توقيعاً رقمياً يضمن عدم العبث بمحتوى الرسالة. وبما أن هذه الرسائل استوفت هذين الشرطين، فقد تراجعت احتمالات تصنيفها كرسائل مزعجة (Spam) من قبل الأنظمة الآلية.
تسلسل الحملة ونطاق الاستهداف
رصدت البحوث التقنية نشاط هذه الحملة في الفترة ما بين أواخر ديسمبر 2025 وأواخر يناير 2026. واستهدفت الحملة مؤسسات وجهات حكومية حول العالم، واستخدم المهاجمون لغات متعددة شملت الإنجليزية والفرنسية والألمانية والإيطالية والبرتغالية والروسية، في محاولة لرفع معدلات التفاعل عبر مخاطبة المستخدمين بلغاتهم المحلية.
الآلية الفنية للاختراق
اتبع المهاجمون مساراً يتسم بانخفاض التكلفة وسهولة التنفيذ، وذلك عبر الخطوات التالية:
- إنشاء الحسابات: البدء بإنشاء حسابات مجانية أو تجريبية على Atlassian Cloud، وتوليد بيئات عمل Jira جاهزة.
- أتمتة العمليات: استخدام ميزة Jira Automation، وهي أداة داخل المنصة تتيح تنفيذ إجراءات تلقائية عند تحقق شروط معينة.
- صياغة الرسائل: ضبط قواعد الأتمتة لإنتاج رسائل احتيالية تحاكي الإشعارات الروتينية، مع إخفاء أي تفاصيل قد تربط الرسالة بمشاريع وهمية داخل المنصة.
- التوجيه الخادع: بمجرد نقر المستخدم على الروابط الموجودة في الرسالة، يتم نقله عبر سلسلة من التحويلات لإخفاء الوجهة النهائية التي غالباً ما تكون مواقع ترويج لاستثمارات وهمية أو منصات ألعاب ومراهقات مشبوهة.
أسباب استهداف مستخدمي Jira
اختار المهاجمون هذه المنصة تحديداً نظراً للاعتماد الواسع عليها في بيئات العمل، حيث يتلقى الموظفون يومياً عدداً كبيراً من الإشعارات، ما يقلل من حالة الحذر والارتباك تجاه الرسائل الجديدة. كما أن التركيز على القطاعات الحكومية والشركات الكبرى يوفر غطاءً مثالياً للمهاجمين، مستغلين كثافة تدفق رسائل البريد الإلكتروني لتمرير روابطهم الاحتيالية وسط سياق العمل الرسمي.
مؤشرات كشف الاحتيال
رغم الموثوقية التقنية للرسائل، تظل هناك علامات عملية تساعد المستخدمين على كشف زيفها، منها:
- تضمن الرسائل وعوداً بجوائز أو عروض مالية لا ترتبط بطبيعة العمل.
- استخدام لغة تحث على الاستجابة العاجلة والضغط الزمني لاتخاذ قرار سريع.
- توجيه الروابط إلى نطاقات خارجية لا صلة لها بالجهة المرسلة، وظهور تحويلات متعددة في شريط عنوان المتصفح.
وتظل القاعدة الأساسية للوقاية هي أن إشعارات العمل الحقيقية تقود دائماً إلى صفحات داخل المنصة أو نطاقات رسمية معروفة، بينما يعد أي انتقال إلى مواقع استثمارية أو ترفيهية دليلاً قاطعاً على وجود محاولة احتيال، بغض النظر عن سلامة التوقيع الرقمي للرسالة.
