هجوم Signal: كيف تحمي حسابك في دقيقتين

وزراء في الحكومة الألمانية، يحيطهم فريق أمني وموظفو تقنية معلومات، وقعوا قبل أيام ضحية هجوم تصيّد بسيط على تطبيق Signal. هذا ما كشفته صحيفة Der Spiegel يوم 25 نيسان/أبريل 2026، فيما امتنع متحدثون باسم الحكومة الألمانية عن تأكيد وقوع هجمات على وزراء بعينهم، استناداً إلى سياسة عدم التعليق على الحوادث الأمنية. لم يكن هجوماً تقنياً معقداً ولا اختراقاً للتشفير. كل ما حدث أن الضحية مسحت رمز QR ظنّت أنه عادي، فربطت دون أن تدري جهاز المهاجم بحسابها على Signal. منذ تلك اللحظة، كل رسالة تصل تظهر على شاشة شخص آخر.

إذا كان وزير لم ينتبه، فالافتراض بأن المستخدم العادي محمي ليس في محله. وإذا كنت ضمن الجالية العربية في ألمانيا وتستخدم Signal أو WhatsApp للتواصل مع العائلة في سوريا أو لبنان أو العراق أو السودان أو مصر أو المغرب، فالحساب الذي تتركه مفتوحاً ليس مجرد تطبيق رسائل، بل أرشيف كامل لأرقام أقاربك وعناوينهم وصورهم وخطط سفرهم. الخبر الجيد أن إغلاق هذا الباب يستغرق دقيقتين.

كيف يعمل الهجوم بالضبط

Signal وWhatsApp يتيحان ميزة اسمها "الأجهزة المرتبطة" (Linked Devices)، تسمح لك بفتح حسابك على جهاز كمبيوتر أو جهاز لوحي إضافي. الربط يتم بمسح رمز QR من شاشة الجهاز الجديد عبر كاميرا هاتفك. هذه الميزة عادية ومفيدة، إلا أن المهاجم يستغلها بطريقة مقلوبة: يرسل لك رمز QR (عبر دردشة أو بريد إلكتروني أو رسالة تبدو رسمية)، وإذا مسحته من داخل تطبيق Signal على هاتفك، فأنت لم تربط جهازك بحسابك، بل ربطت جهازه هو.

النتيجة أن المهاجم يقرأ كل رسالة تصلك في الوقت ذاته، بما فيها سجل المحادثات السابق، دون أن يظهر أي إشعار واضح على هاتفك. مجموعة تحليل التهديدات في Google (Threat Analysis Group) كانت قد رصدت هذا الأسلوب سابقاً في عام 2025 ضد صحفيين وناشطين، أي أن الطريقة ليست جديدة، لكنها فعّالة لأن المستخدمين لا يفتحون قائمة الأجهزة المرتبطة أبداً بعد التثبيت الأول.

smartphone scanning QR code security warning — هجوم رمز QR لا يكسر التشفير، بل يخدع المستخدم ليربط جهاز المهاجم بحسابه

ما يجب فعله الآن في Signal

افتح Signal على هاتفك، ثم اذهب إلى Settings (الإعدادات)، ومنها إلى Linked Devices. ستظهر لك قائمة بكل الأجهزة المرتبطة حالياً بحسابك. إذا رأيت سطراً لا تعرفه، أو جهازاً لا تذكر أنك ربطته بنفسك (Desktop غير مألوف، iPad ليس لك، تاريخ ربط لا تتذكره)، اضغط عليه وأزله فوراً. هذه الخطوة الواحدة تقطع وصول المهاجم لحظياً، وتمنعه من قراءة أي رسالة جديدة.

الخطوة التالية لا تقل أهمية: تفعيل Signal PIN وميزة Registration Lock. الـ PIN رقم سري يحمي حسابك إذا حاول أحدهم نقل رقمك إلى شريحة SIM جديدة (هجوم SIM swap). ومع تفعيل Registration Lock، لن يستطيع أحد تسجيل رقمك على هاتف آخر دون معرفة هذا الـ PIN. تجد الإعدادين في Settings ضمن قسم Account. الدليل الرسمي للتطبيق يوصي بمراجعة قائمة الأجهزة المرتبطة بشكل دوري وليس مرة واحدة فقط.

والخطوات نفسها على WhatsApp

WhatsApp يتبع المنطق ذاته. افتح التطبيق، ثم Settings، ثم Linked Devices. راجع كل سطر في القائمة. إذا كان هناك جهاز لا يخصك، اضغط عليه واختر Log Out. ولتفعيل طبقة الحماية الإضافية، اذهب إلى Settings ثم Account ثم Two-Step Verification وضع رقماً سرياً مع بريد إلكتروني للاسترداد. هذا يمنع أي شخص من إعادة تفعيل رقمك على جهاز جديد دون إذنك.

القاعدة التي توفّر كل ما سبق

لا تمسح أبداً رمز QR وصلك في دردشة أو بريد إلكتروني أو رسالة، إلا إذا كنت أنت من بدأ عملية الربط. رمز QR ليس رابطاً عادياً تنقر عليه بفضول، بل تعليمة مباشرة لتطبيقك بأن يمنح صلاحية. القاعدة بسيطة: الرمز الذي تمسحه يجب أن يكون على شاشة جهازك أنت، لا على شاشة شخص آخر، ولا في صورة وصلتك.

signal messenger app settings security — قائمة الأجهزة المرتبطة في Signal: نقطة المراجعة الأهم

وفقاً للحكومة الألمانية، روسيا هي الجهة المشتبه بوقوفها وراء حملة التصيّد، وهذا ما نقلته وسائل الإعلام الألمانية الرسمية بما فيها Tagesschau. هذه الرواية الرسمية الألمانية، وليست استنتاجاً تقنياً مستقلاً. والأهم أن الخطوات الدفاعية لا تتغيّر مهما كان المهاجم. سواء كان جهة حكومية أو مجموعة إجرامية أو فرداً، فالباب الذي يستخدمونه واحد، وإغلاقه يتم بالطريقة ذاتها داخل إعدادات تطبيقك.

Signal وWhatsApp ليسا تطبيقين مكسورين، ولا داعي للهجرة منهما إلى تطبيق آخر. كلاهما يبقى من بين الخيارات الأكثر أماناً عند ضبطه بشكل صحيح. المشكلة ليست في التشفير بل في إعداد لم يفتحه أحد. دقيقتان الآن تغنيان عن أسابيع من القلق لاحقاً، وعن تسرّب محادثات قد تتضمن عناوين أقاربك وأسماءهم وتفاصيل سفرهم.