يكشف التحقيق الذي أجرته "إيران إنترناشيونال" أنّ الهجوم السيبراني على بنك "سباه" خلال حرب الـ12 يوماً أدى إلى مسح بيانات ملايين العملاء وتعطيل الخدمات المصرفية لأسابيع، في أزمة أصابت الأمن الاقتصادي للمجتمع، ومن المتوقع أن تستمر حتى نهاية سبتمبر (أيلول).
وتُظهر هذه التحقيقات أنّ ما جرى حول بنك "سباه" منذ أبريل (نيسان) الماضي كان جزءاً أساسياً من هجوم إلكتروني واسع ومنسق من جانب إسرائيل ضد إيران، بالتوازي مع سيناريوهات أخرى لحرب الـ12 يوماً.
في 17 يونيو (حزيران) 2025، وفي اليوم الرابع من الحرب بين إيران وإسرائيل، أعلن فريق القرصنة المعروف باسم "العصفور المفترس" مسؤوليته عن هجوم سيبراني واسع على بنك "سباه"، أحد أقدم وأهم البنوك الحكومية الإيرانية، قائلاً: "الهدف هو إضعاف البنية التحتية المالية والعسكرية".
وكالة أنباء "فارس" التابعة للحرس الثوري أكدت وقوع الهجوم، محذّرة من احتمال حدوث اضطرابات في محطات الوقود نظراً لدور البنك في دعم منظومة التوزيع.
يُذكر أنّ مجموعة "العصفور المفترس" تنشط منذ عام 2021، وتقدّم نفسها على أنها مجموعة من القراصنة الإيرانيين المعارضين للنظام، بينما تربطها وسائل إعلام إسرائيلية وغربية بالحكومة أو الجيش الإسرائيلي، من دون أن تؤكد تل أبيب هذه المزاعم.
في 21 يونيو، أعلنت مجموعة قرصنة أخرى تُدعى "عدالة علي" عبر منصة "إكس" أنّ جميع بيانات بنك "سباه"، بما في ذلك المعلومات الخاصة بالودائع والقروض، قد حُذفت خلال الهجوم، مؤكدة أنّ العملاء يستطيعون الادعاء بأن معاملاتهم لم تُسجَّل "لأن البنك لم يعد يملك أي دليل لإثباتها".
وأثار الخبر موجة قلق بين عملاء البنك، ومع استمرار الأعطال في بعض الخدمات المصرفية، لا يزال كثيرون يشككون بمصير أموالهم المودعة.
لماذا بنك "سباه"؟
في بيانها، اتهمت مجموعة "العصفور المفترس" بنك "سباه" بالمشاركة في الالتفاف على العقوبات الدولية، وتمويل الإرهاب، ودعم الميليشيات الحليفة، والمشاريع الصاروخية والنووية العسكرية للنظام، مضيفة: "هذا هو مصير مؤسسة وُضعت في خدمة أوهام دكتاتور إرهابي".
وقد أُدرج اسم البنك سابقاً على لوائح العقوبات الأميركية والأوروبية والأممية بسبب "دوره المحوري في تمويل المشاريع الدفاعية والصاروخية الإيرانية".
تجدر الإشارة إلى أنّ بنوك أنصار، وقوامين، وحكمت إيرانيان، ومهر اقتصاد ومؤسسة "كوثر" الائتمانية – وجميعها مرتبطة بالمؤسسات العسكرية – دُمجت في بنك "سباه" بتاريخ 2 مارس (آذار) 2019.
ما الخسائر التي خلّفها الهجوم؟
أعلن القراصنة أنهم دمّروا في عمليتهم جميع بيانات البنك، بما فيها حسابات الودائع، القروض، المعاملات، والسجلات الخاصة بالعملاء.
وتُظهر مراجعة" إيران إنترناشيونال" للتقارير المنشورة عبر شبكات التواصل الاجتماعي منذ الهجوم أن تطبيقات البنك، وبوابات الدفع الإلكتروني، وأجهزة الصرّاف الآلي خرجت عن الخدمة بعد ساعات من الاختراق.
كما تعطّلت بطاقات الدفع التابعة للبنك- مثل بطاقات "أنصار" و"كوثر"- وظهرت أرصدة الحسابات وكأنها "صفر".
وتشير المعطيات إلى أنه في الأيام الأولى بعد الهجوم، واجه العديد من العملاء تجميد حساباتهم أو اقتطاعات غير مصرّح بها.
* أحد العملاء كتب في 27 يونيو أن البنك خصم 400 ألف تومان من حساب لم يكن يتجاوز رصيده 700 ألف تومان، وزعم أنه حُوِّل إلى حساب آخر "غير موجود أصلاً".
* عميل آخر أفاد باقتطاع 6 ملايين تومان بطريقة غير قانونية.
* مستخدم ثالث تلقى رسالة نصية من البنك تقول: "تم خصم 138 ألف تومان من حسابك لأننا حوّلنا المبلغ قبل أيام إلى حساب آخر لمصلحتك"، بينما لم يكن له أي حساب آخر.
* شخص آخر قال إنه تلقى رسالة إيداع من بنك "سباه" تفيد بدخول 20 مليون تومان إلى رصيده، مضيفاً: "لكنني أساساً لا أملك حساباً لدى بنك سباه".
كما شكّل تقييد الوصول إلى الودائع أبرز شكاوى العملاء؛ إذ كتب أحدهم في 22 يونيو: "حسابي في بنك سباه مجمّد منذ 15 يوماً. إذا لم تستطيعوا حتى استرجاع الحسابات المخترَقة، فكيف تزعمون أنكم قادرون على خوض الحرب؟".
ما الذي جرى لبيانات بنك "سباه"؟
موقع "اقتصاد أونلاين" كتب بعد يوم واحد من هذا الهجوم في تقرير له: "المهاجمون، عبر استغلال ثغرة أمنية في المنافذ الإدارية (ILO) الخاصة بخوادم HP، تمكّنوا من الدخول إلى الشبكات الحيوية لبنك "سباه". هذه المنافذ، التي لا ينبغي افتراضياً أن تكون متصلة بالإنترنت، كانت مفتوحة إلى الخارج إما نتيجة إهمال أو بفعل إتاحة متعمدة من الداخل".
وبحسب هذا التقرير، تمكن المهاجمون من السيطرة الكاملة على البنية التحتية للبنك، وحتى بعد محاولة استعادة النسخ الاحتياطية، أُصيبت الأنظمة مجدداً بالعدوى، وفي النهاية تقرر أن تُعاد تهيئة وتثبيت جميع الأنظمة والخوادم (نحو 300 إلى 400 خادم) من الصفر.
موقع "زوميت" في 19 يوليو (تموز)، أشار إلى مذكرة لحميد رضا آموزكار، نائب مدير تطوير المنتج في شركة "داتين"، الذي كان مسؤولاً عن الأمن السيبراني لبنك "سباه" قبل هذا الهجوم، شرح فيها أبعاد الهجوم قائلاً: "لم تكن الخوادم فقط خارج الخدمة، بل حتى موقعها الاحتياطي لم يكن متاحاً. عندما يقولون لا توجد وحدة تخزين (Storage)، فهذا أشبه بأن يكون جهازك المنزلي بلا قرص صلب ولا حتى نظام تشغيل".
وبحسب قول آموزكار، بعد هذا الهجوم كان كل شيء يشبه "الفراغ"، وأدّى فقدان بيانات الخوادم إلى اضطرار البنك لاستخدام النسخ الاحتياطية الباردة (Cold Backup)، أي البيانات المخزنة خارج الموقع، والتي تعود لعدة أيام سابقة على الزمن الفعلي.
والرجوع إلى النسخ الاحتياطية الباردة، بالنسبة لبنك يجري فيه ـ بحسب مسؤوليه ـ "حوالي تريليون تومان من العمليات شهرياً"، يعني "فقدان ما يقارب 30 مليون عملية يومياً".
وفي 5 أغسطس (آب)، نقل موقع "زوميت" عن موظف في بنك "سباه" قوله: "بعد 48 يوماً من الهجوم، يقول عملاء البنك إن العديد من خدمات البنك عادت إلى طبيعتها، لكن بعضها لا يزال يعاني من مشكلات. فعلى سبيل المثال، خيار دفع قروض الزواج عاد أمس إلى التطبيق الجديد لبنك سباه".
وأضاف "زوميت" في تقريره: "تفيد المعلومات المتداولة أن بنك سباه سيستعيد نشاطاته الطبيعية بحلول أواخر سبتمبر (أيلول)".
وبحسب هذا التقرير أيضاً، فقد خصم بنك "سباه" خلال فترة الحرب مبالغ من بعض الحسابات تحت عنوان "تسوية الفروقات"، لكنه وعد لاحقاً بإعادتها.
سوابق اختراق بنك "سباه"
الهجوم السيبراني في 17 يونيو (حزيران) على بنك "سباه" كان واسعاً وضاراً إلى درجة أن الكثيرين نسوا أن هذا البنك كان قد تعرض لهجوم آخر في أبريل (نيسان) 2025.
فقد أعلن فريق القراصنة "كود بريكرز" (CodeBreakers) في 26 مارس (آذار) أنه حصل على البيانات المالية لأكثر من 42 مليون مستخدم، بما في ذلك أكثر من 12 تيرابايت من بيانات بنك "سباه" السرية، مثل معلومات الحسابات المصرفية، كلمات المرور، سجلات المعاملات، العناوين، وبيانات أفراد عسكريين.
بنك "سباه" في البداية نفى الأخبار المتعلقة بالحادث، ووصف أنظمته المصرفية بأنها "غير قابلة للاختراق"، كما حذر الأفراد ووسائل الإعلام من إعادة نشر أي معلومات تتعلق بالبنك.
هذا الفريق قال في بيان له إنه طلب 42 مليون دولار بعملة البيتكوين مقابل عدم نشر البيانات، لكن البنك رفض الدفع.
محمد أمين آقامیری، أمين المجلس الأعلى للفضاء السيبراني، قال في 17 أبريل (نيسان) خلال ظهوره في برنامج إخباري على التلفزيون الرسمي: "بعد أيام قليلة من إعلان خبر الهجوم، اتضح أن الحادث الأخير لم يكن اختراقاً، بل سرقة بيانات".
حتى الآن، لم يقدّم مسؤولو النظام الإيراني أي توضيح حول كيفية وقوع هذه السرقة.
وبعد هذا الإنكار، نشر الفريق جزءاً من البيانات. ومن بين ما كُشف، حسابات مصرفية تعود إلى مسؤولين عسكريين ومدنيين بمبالغ بمليارات التومانات.
وظهرت أسماء مثل حسن بلارك، القائد السابق لفيلق القدس، مع حساب تبلغ قيمته 634 مليار تومان، وعباس غول محمدي، المسؤول السابق في مجال الجيولوجيا، بحساب تبلغ قيمته 768 مليار تومان.
كما كُشفت بيانات مصرفية تخص علی رضا آرش، عضو مجلس إدارة شركة "هنكل باك وش"، برصيد يبلغ 408 مليارات تومان، وأشخاص بارزين آخرين.
لماذا كان اختراق بنك سباه مهماً؟
بعد تسريب 12 تيرابايت من بيانات بنك "سباه" السرية من قبل فريق "كود بريكرز" يوم الجمعة 11 أبريل (نيسان) 2021، أعلن فريق القراصنة "شدوبِتس" (ShadowBits) عن اختراق أنظمة شركة "همراه أول" (أكبر مزوّد للهاتف المحمول في إيران)، وقال إنه سرق بيانات 30 مليون مشترك من أصل نحو 60 مليون بطاقة SIM نشطة.
ومع اندلاع الحرب ومقتل عدد كبير من أبرز قادة الحرس الثوري والشخصيات العسكرية والأمنية في البلاد، إضافة إلى اختراق بنك "سباه"، تعززت الفرضية القائلة بأن إسرائيل استخدمت بيانات الاختراقات المصرفية وشبكات الهاتف المحمول لتتبع القادة العسكريين.
محمد جواد آذري جهرمي، وزير الاتصالات في حكومة روحاني، قال في 15 يوليو (تموز): "مؤسسة مثل "هدفمندی یارانه ها"(توجيه الدعم) تجمع التفاصيل الكاملة عن جميع المواطنين. قادتنا العسكريون الذين استشهدوا كانت لهم حسابات مصرفية هناك، ومن أجل استلام رواتبهم الشهرية كان لا بد لهم من التسجيل بعنوان بريدي ورقم هاتف خاص بهم. من الواضح إذاً كم كان الاختراق وتسريب المعلومات سهلاً، ومن الطبيعي أن يؤدي وصول العدو إلى بيانات هذه المؤسسة إلى حصول اختراق واسع النطاق".
