خلال عطلة عيد الفصح التي استمرت أربعة أيام في الفترة من 18 إلى 21 أبريل 2025، توجه عملاء شركة Marks & Spencer (M&S) البريطانية إلى وسائل التواصل الاجتماعي بأعداد كبيرة للتعبير عن أسفهم للانقطاع الواضح الذي تسبب في تعطيل عمليات الدفع غير التلامسية داخل المتجر.
للوهلة الأولى، بدا التعطيل نتيجة لخلل عادي في تكنولوجيا المعلومات يحدث من وقت لآخر، ولكن بحلول يوم الثلاثاء 22 أبريل، بدأ يتضح أن شيئًا أكثر شرًا كان يحدث. أغلقت شركة M&S العديد من الخدمات العامة، مثل التسوق عبر الإنترنت والنقر والتحصيل داخل المتجر، وقام الرئيس التنفيذي ستيوارت ماشين بجولات في استوديوهات الأخبار الصباحية للتأكد من تعرض بائع التجزئة لهجوم سيبراني.
كان هذا الحادث هو الأول في سلسلة من الهجمات الضارة ضد تجار التجزئة في المملكة المتحدة – والتي تم تنظيمها جميعها بطريقة مماثلة عبر أنظمة مورد تكنولوجيا خارجي غير مقصود – والتي تم الكشف عنها.
ومع جذب أمثال Co-op وحتى Harrods، أصبحت Scattered Spider – مجموعة القرصنة الناطقة باللغة الإنجليزية التي تقف وراء الهجوم – والمجموعات المرتبطة بها مثل Lapsus$ وShinyHunters أسماء مألوفة.
خلال صيف عام 2025، حول المتسللون المراهقون انتباههم إلى أهداف أخرى، وضربوا المؤسسات العاملة في قطاعات متعددة في جميع أنحاء العالم. يمكن القول إن فورة الجرائم السيبرانية بلغت ذروتها – أو الحضيض اعتمادا على وجهة نظرك – مع الهجوم الذي وقع في أغسطس 2025 على شركة صناعة السيارات جاكوار لاند روفر (JLR)، والذي لا تزال تداعياته تتردد في جميع أنحاء اقتصاد المملكة المتحدة بعد ما يقرب من ثمانية أشهر.
لكن الفوضى بدأت في ماركس آند سبنسر، حيث تُركت الأرفف فارغة بينما كان مديرو المتاجر يعانون من أنظمة الطلب المنهارة، وأصبحت المنازل في جميع أنحاء البلاد خالية من أنواع الشاي الفاخرة والحلويات الصمغية على شكل خنزير والكعك على شكل يرقة.
نقاط ضعف الطرف الثالث: بدأت بمكالمة هاتفية
تقول شارلوت ويلسون، رئيسة شركة Check Point في المملكة المتحدة وأيرلندا: “بعد مرور عام على هجوم M&S، تحكي الأرقام قصة صارخة. فقد نمت الهجمات الإلكترونية على التجزئة بنحو 34% في العام الماضي، ويشير المسار منذ ذلك الحين إلى أن هذا الرقم قد ارتفع أكثر”.
“ما أوضحه الحادث هو كيف ينبغي فهم طبيعة الهجوم نفسه. كانت نقطة الدخول الأولية في ماركس آند سبنسر، وفي شركات أخرى مثل جاكوار لاند روفر … عبارة عن مكالمة هاتفية. أقنع شخص ما أحد موظفي مكتب المساعدة بتسليم الوصول إلى النظام عن طريق انتحال شخصية موظف. كان هذا هو الباب، وفتح على مئات الملايين من الجنيهات الاسترلينية من الأضرار. بدأ الهجوم السيبراني الأكثر تكلفة في تاريخ التجزئة البريطاني بمحادثة”.
يقول محمد يحيى باتل، كبير مسؤولي أمن المعلومات الافتراضية في Huntress (vCISO) ومستشار الأمن السيبراني في أوروبا والشرق الأوسط وأفريقيا، إن قصة الأصل غير المعقدة نسبيًا هذه هي على وجه التحديد التي تحدد خرق M&S كدراسة حالة يجب على كل فريق أمني – سواء كان يعمل في مجال البيع بالتجزئة أم لا – أن يطبعها ويعلقها على الحائط.
يقول باتل: “لم يجد المهاجمون يوم الصفر. ولم يتجاوزوا جدار الحماية من الجيل التالي. التقطوا الهاتف، وتظاهروا بأنهم موظفون في M&S، وطلبوا من مكتب خدمة تابع لجهة خارجية إعادة تعيين كلمة المرور. وكان هذا كل ما في الأمر”.
“كل ما أعقب ذلك، تسلل قاعدة بيانات Active Directory، واختراق بيانات الاعتماد، ونشر برامج الفدية عبر مضيفي VMware – كل ذلك ينبع من نقص عمليات مكتب الخدمة.
“ما وصفه آرتشي نورمان بـ “انتحال الشخصية المتطور” في البرلمان هو ما أطلق عليه مجتمع الأمن اسم Scattered Spider السمة المميزة منذ اختراق MGM في عام 2023. كان دليل اللعب علنيًا. وتم توثيق التقنية. وما زالت تعمل.
“ربما التفاصيل الأكثر واقعية [is] وتتراوح أعمار الأفراد الأربعة الذين اعتقلتهم الوكالة الوطنية لمكافحة الجريمة في يوليو/تموز بين 17 و20 عامًا. ولم يكن هؤلاء ممثلين للدولة القومية يتمتعون بمال كبير ويدعمون الحكومة. لقد كانوا شبابًا ويتحدثون الإنجليزية وكانوا فعالين للغاية في إيجاد الفجوة بين الضوابط الفنية للمنظمة والأشخاص والعمليات.
التأثير الدائم على محادثات مجلس الإدارة
لكن بشكل ملحوظ، كما تقول ويلسون من شركة Check Point، يبدو أن هجوم M&S كان بمثابة جرس إنذار تشتد الحاجة إليه لصناعة البيع بالتجزئة، وبدأ العديد من عملائها في التدقيق في سلاسل التوريد الخاصة بهم نتيجة لذلك.
وتقول: “لقد كشف الهجوم عن حقيقة قاسية: قوة وضعك الأمني تعادل قوة أضعف حلقة في النظام البيئي للبائعين لديك، وبالنسبة للعديد من تجار التجزئة، لم يتم اختبار هذا الارتباط بشكل جدي على الإطلاق. إن محادثات سلسلة التوريد التي تجري في مجالس الإدارة اليوم لم تكن تحدث قبل 18 شهرًا”.
“يُنظر الآن إلى المخاطر السيبرانية على أنها قضية على مستوى مجلس الإدارة بطريقة لم تكن كذلك من قبل. وقد يكون هذا التحول الثقافي هو الإرث الأكثر أهمية للهجوم.”
يوافق دومينيك مورتيمر، الذي يقود الفريق الأحمر في Bulletproof من WorkNest، على أن قادة الأمن يبدون أكثر يقظة لمخاطر الهندسة الاجتماعية.
يقول مورتيمر لـ Computer Weekly: “لقد أدى اختراق M&S إلى زيادة هائلة ومباشرة في المؤسسات التي ترغب في تضمين سيناريوهات اختراق مماثلة في اختباراتها”. “أعتقد أن 80% من أحدث الفرق الحمراء التي قمنا بها بعد إعلان الاختراق قد تضمنت جميعها مكتب مساعدة [or] سيناريوهات محاكاة التصيد لضمان مرونة المنظمة ودفاعاتها تمتد إلى مناطق الطرف الثالث هذه.
“لقد سلط الضوء إلى حد كبير على مجال كانت المنظمات قد أهملته في السابق وأعاد الكثيرون النظر في اعتمادهم على كيانات الطرف الثالث التي يتم الاستعانة بمصادر خارجية أو تعاملوا معها بمزيد من التدقيق. لذا، فقد أصبحت حكاية تحذيرية إلى حد كبير أخذتها المؤسسات على محمل الجد، وهو أمر إيجابي للغاية على الرغم من الأوقات السيئة التي مرت بها ماركس آند سبنسر.”
دروس ما بعد الانتهاك
ومع ذلك، لا يزال الأمن السيبراني في مجال البيع بالتجزئة معركة شاقة، ويسلط ويلسون الضوء على بعض العوامل الهيكلية التي لا تزال تجعل حماية المتاجر أكثر صعوبة من، على سبيل المثال، شركات الخدمات المالية، أو دور النشر بين الشركات.
تشمل هذه العوامل – على سبيل المثال لا الحصر – المزيد من نقاط الاتصال العامة التي تؤدي إلى زيادة كبيرة في حجم محاولات التصيد الاحتيالي، وتبديل متكرر لموظفي الخطوط الأمامية وانخفاض متوسط النضج الأمني تاريخيًا. كل هذا يضيف إلى بيئة التهديد التي يصعب تقويتها. علاوة على ذلك، يضيف ويلسون، أن تجار التجزئة يعملون بهوامش ضيقة للغاية، مما يجعل الأمن السيبراني يواجه نقصًا مزمنًا في الاستثمار
ربما ليس من المفاجئ إذن أن تكشف أحدث إحصائيات الهجمات السيبرانية الصادرة عن Check Point لشهر مارس 2025 أن قطاع السلع والخدمات الاستهلاكية كان من أكثر القطاعات المستهدفة في المملكة المتحدة.
يقول Huntress’ Patel إنه يشهد الآن موجة من الأساليب متعددة القنوات من قبل المتسللين الذين يستخدمون البريد الإلكتروني والمكالمات الهاتفية والرسائل النصية القصيرة وحتى Microsoft Teams لبناء الثقة مع الموظفين قبل توجيه الضربة القاتلة. ويقول إن هذا يجعل من الصعب إيقافهم بأي طريقة واحدة للتحكم.
ويقول: “إن الأمر يتطلب ثقافة التحقق والتعليم، وليس مجرد مجموعة من الأدوات”. “إن المنظمات التي تخرج من هذه الفترة بشكل أقوى لن تكون بالضرورة هي تلك التي أنفقت أكثر. بل ستكون هي التي كانت صادقة بشأن الفجوات الحقيقية وسدتها.
“في Huntress، نرى باستمرار المهاجمين داخل الأعمال بينما نتدخل لإيقافهم في مساراتهم. نحن نشهد توسعًا احترافيًا للنظام البيئي لسرقة الهوية. وصلت كفاءة الخصومة إلى أعلى مستوياتها على الإطلاق. ومن خلال تحويل الوصول غير المصرح به إلى موطئ قدم موثوق به وطويل الأمد، يتعامل المهاجمون مع الشبكات وكأنها سوق.
إن قدرتنا الجماعية على التعرف على هذا النوع من الاستغلال الثانوي ومقاومته لم تتحسن ببساطة. المهاجمون يعرفون ذلك، وهم يعولون عليه
شارلوت ويلسون، نقطة تفتيش
ويقول: “يجب على المؤسسات أن تغير استراتيجيتها إذا كنت تشاهد فقط “الاقتحام”، فإنك تفتقد الاختراق. ويجب أن تتحول الأولوية إلى الرؤية الصارمة بعد المصادقة والكشف عن الحالات الشاذة”.
ويرى ويلسون أن حادثة M&S يبدو أنها دفعت الحكومة إلى البدء في التصرف بشكل أكثر إلحاحًا. وتشير إلى أن المركز الوطني للأمن السيبراني (NCSC)، يقول في تقريره السنوي الأخير إنه تعامل مع 204 هجمات إلكترونية “ذات أهمية وطنية” في الفترة من سبتمبر 2024 إلى سبتمبر 2025، أي أكثر من ضعف الرقم القياسي السابق البالغ 89 هجومًا. وتشير أيضًا إلى التقدم المحرز في مشروع قانون الأمن السيبراني والمرونة (CSBR)، وخطة العمل السيبراني في وستمنستر واقترحت وحدة إلكترونية مركزية بقيمة 210 ملايين جنيه إسترليني.
وتقول: “لقد بدأنا أخيرًا نرى الحكومة لا تكتفي بفهم التكلفة الاجتماعية والاقتصادية للتهديدات السيبرانية، بل تتواصل بنشاط مع التكلفة الاجتماعية والاقتصادية للتهديدات السيبرانية. وهذا هو التقدم”. “لكن ما لم يتغير هو السلوك الفردي. فالمستهلكون الذين يمارسون حياتهم اليومية لا يهتمون بشكل كبير ببياناتهم الشخصية.
“وهناك فصل من هذه القصة لم يتم سرده بصوت عالٍ بما فيه الكفاية: موجة عمليات الاحتيال الجماعية التي أعقبت الانتهاكات. ولا تزال موجودة على وسائل التواصل الاجتماعي: مقاطع فيديو مزيفة تسأل عما إذا كنت قد تأثرت، وما إذا كان يحق لك الحصول على تعويض، وجمع تفاصيل الأشخاص الذين كانوا بالفعل ضحايا في السابق.
وتحذر قائلة: “تصدر الاختراق الأصلي عناوين الأخبار، لكن عمليات الاحتيال التي غذت عليه لم تفعل ذلك. ومن منظور مجتمعي، فإن قدرتنا الجماعية على التعرف على هذا النوع من الاستغلال الثانوي ومقاومته لم تتحسن ببساطة. فالمهاجمون يعرفون ذلك، وهم يعولون عليه”.
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
