HiCellTek HiCellTek
المنتجات الأسعار المدونة الأسئلة الشائعة تواصل معنا
EN English
طلب عرض توضيحي
العودة إلى المدونة
احتيال imeiاستبدال simأمن الاتصالاتceir

احتيال IMEI واستبدال SIM: كيف يكتشف مهندسو الاتصالات التهديدات الشبكية

استنساخ IMEI واستبدال SIM يكلفان المشغلين مليارات الدولارات. كيف تكشف التحقق من TAC وقواعد بيانات CEIR والتشخيص الميداني هذه التهديدات.

Takwa Sebai
Takwa Sebai
مؤسسة HiCellTek · أكثر من 15 عاماً في الاتصالات
٢٧ مارس ٢٠٢٦ · 8 دقيقة قراءة

محلل احتيال في مشغل MVNO أوروبي يلاحظ 47 جهازاً تحمل بادئات IMEI متطابقة تسجل عبر 12 مدينة في 24 ساعة. يتطابق TAC مع موديل اقتصادي يُباع بشكل رئيسي في جنوب شرق آسيا. لكن أرقام IMEI التسلسلية متتابعة: من 000001 إلى 000047. لا يوجد دفعة إنتاج شرعية توزع أرقام IMEI متتابعة في 12 مدينة في وقت واحد. هذا استنساخ IMEI على نطاق صناعي.

نظام EIR لدى المشغل يطلق التنبيه. في غضون ساعات، يؤكد التحقيق: كل جهاز يعمل ببرنامج ثابت مزيف، ينتحل هوية موديل شرعي للتحايل على سياسات قبول الشبكة. التعرض المالي: مكالمات دولية احتيالية تمر عبر أجهزة مستنسخة، بإجمالي يتجاوز 180,000 يورو في ثلاثة أسابيع.

هذا السيناريو ليس افتراضياً. إنه يتكرر عبر الشبكات حول العالم، مكلفاً الصناعة مليارات الدولارات سنوياً.

حجم احتيال IMEI

التأثير المالي لاحتيال الأجهزة على الشبكات المتنقلة مذهل. تقديرات GSMA تضع الخسائر العالمية من احتيال IMEI واستبدال SIM وتهريب الأجهزة المزيفة عند حوالي 2.7 مليار دولار سنوياً. تقييم يوروبول 2024 للتهديدات الجريمة المنظمة حدد احتيال الأجهزة المتنقلة كناقل متنامٍ للشبكات الإجرامية العاملة عبر حدود الاتحاد الأوروبي.

سوق الأجهزة المزيفة يضاعف المشكلة. يُقدَّر أن جهازاً متنقلاً واحداً من كل خمسة في بعض الأسواق الأفريقية وجنوب آسيا يحمل IMEI مكرراً أو مزوراً (المصدر: تقارير GSMA Device Registry). هذه الأجهزة لا تتهرب فقط من الضرائب والرسوم الجمركية، بل تقوض أيضاً سلامة الشبكة: شرائح النطاق الأساسي المزيفة غالباً لا تلتزم بمعايير الراديو 3GPP، مسببةً تداخلاً وانقطاع مكالمات وتدهوراً في الأداء للمشتركين الشرعيين.

استبدال SIM يضيف بُعداً آخر. تلقى مكتب FBI (IC3) أكثر من 2,000 شكوى استبدال SIM في 2023 وحده، بخسائر مُبلَّغ عنها تتجاوز 48 مليون دولار في الولايات المتحدة. في أوروبا، ارتبط احتيال استبدال SIM بسرقة العملات الرقمية والتجسس على الشركات وهجمات مستهدفة ضد مسؤولين تنفيذيين وشخصيات عامة.

تشريح IMEI وأهميته للأمن

فهم بنية IMEI ضروري لكشف الاحتيال على مستوى الشبكة. رقم هوية الجهاز المتنقل الدولي هو رقم من 15 خانة يُسنَد لكل جهاز متنقل، معرَّف في مواصفة 3GPP TS 23.003.

بنية IMEI (15 خانة)
TAC (8 خانات)
رمز تخصيص النوع
يحدد المصنّع + الموديل
مخصص من GSMA
SNR (6 خانات)
الرقم التسلسلي
فريد لكل جهاز
يُسنَد من المصنّع
CD (خانة واحدة)
رقم التحقق
خوارزمية Luhn
كشف الأخطاء

TAC: خط الدفاع الأول للهوية

رمز تخصيص النوع (أول 8 خانات) تُخصصه GSMA لمصنعي الأجهزة. كل TAC يقابل مصنعاً وموديلاً محددين. تحتفظ GSMA بقاعدة بيانات عالمية تضم أكثر من 220,000 رمز TAC مخصص تغطي كل جهاز متنقل معتمد.

عندما يسجل جهاز على الشبكة، يستخرج EIR (سجل هوية المعدات) رمز TAC ويقارنه بقاعدة بيانات GSMA. رمز TAC غير موجود في القاعدة، أو يتطابق مع موديل غير متسق مع القدرات المُبلَّغ عنها، يشكل إشارة تنبيه فورية.

استخدم أداة البحث عن TAC للتحقق من أي TAC في القاعدة العالمية.

التحقق من رقم Luhn

الخانة رقم 15 تُحسَب باستخدام خوارزمية Luhn. رغم بساطتها، تكشف هذه المراجعة أخطاء التلاعب الأساسية. IMEI مستنسخ مع تغيير رقم واحد سيفشل في مراجعة Luhn. ومع ذلك، عمليات الاستنساخ المتطورة تحسب رقم التحقق الصحيح، لذا Luhn وحده لا يكفي.

CEIR: البنية التحتية العالمية للقائمة السوداء

سجل هوية المعدات المركزي (CEIR) هو قاعدة بيانات تديرها GSMA تجمع بلاغات الأجهزة المسروقة والمفقودة والمزيفة من الدول المشاركة. عندما يُبلَّغ عن سرقة جهاز في فرنسا، يُرسَل IMEI الخاص به إلى CEIR. أي مشغل في دولة مشاركة يمكنه بعد ذلك الاستعلام من CEIR وحظر الجهاز.

حتى 2025، أكثر من 150 دولة تشارك في منظومة CEIR، بمستويات تطبيق متفاوتة. يعالج النظام ملايين استعلامات حالة IMEI يومياً.

استبدال SIM: هجوم الهندسة الاجتماعية الذي يتجاوز المصادقة الثنائية

استبدال SIM يختلف جذرياً عن احتيال IMEI. بينما يستهدف استنساخ IMEI هوية الجهاز، يستهدف استبدال SIM هوية المشترك. هدف المهاجم: السيطرة على رقم هاتف الضحية لاعتراض رموز المصادقة الثنائية عبر الرسائل القصيرة، والوصول إلى الحسابات البنكية ومحافظ العملات الرقمية وحسابات البريد الإلكتروني.

سلسلة الهجوم

سلسلة هجوم استبدال SIM
المهاجم يجمع البيانات الشخصية للضحية (شبكات اجتماعية، تسريبات بيانات، تصيد احتيالي)
المهاجم يتصل بالمشغل (متجر، مركز اتصال، بوابة إلكترونية) منتحلاً شخصية الضحية
موظف المشغل يصدر شريحة SIM جديدة بـ MSISDN الضحية (نقل أو استبدال شريحة)
شريحة SIM الأصلية للضحية تُلغى. المهاجم يستقبل جميع المكالمات والرسائل.
المهاجم يعترض رموز 2FA ويصل إلى الحسابات البنكية والبريد الإلكتروني والعملات الرقمية

بصمة إشارات NAS لاستبدال SIM

من منظور الشبكة، ينتج استبدال SIM نمط إشارات مميزاً يمكن لمهندسي الميدان التعرف عليه في تتبعات NAS:

  1. تغيير مفاجئ في IMSI على نفس MSISDN: يحدّث HLR/HSS ارتباط IMSI. جهاز الضحية يتلقى فصلاً ضمنياً. جهاز المهاجم ينفذ Attach Request جديد مع IMSI الشريحة الجديدة لكن بـ IMEI مختلف.

  2. Attach Request بسجل موقع غير متسق: جهاز المهاجم يسجل من موقع لا علاقة له بسجل tracking area الأخير للضحية. يرى MME/AMF مشتركاً ينتقل من الرياض إلى القاهرة في دقائق.

  3. إعادة تهيئة متجهات المصادقة: الشريحة الجديدة تطلق متجهات AKA جديدة. الشبكة تولد CK/IK جديدة (أو K_AMF في 5G). إذا كانت المراقبة مفعلة، فإن هذا التدوير المفاجئ للمفاتيح على مشترك نشط قابل للكشف.

  4. نمط استعادة الخدمة: المهاجم يحاول فوراً استقبال الرسائل القصيرة (انتظاراً لرموز 2FA). سجلات الشبكة تُظهر محاولات تسليم SMS-MT سريعة نحو IMSI الجديد خلال دقائق من عملية الاستبدال.

طرق الكشف على حافة الشبكة

كشف احتيال IMEI واستبدال SIM يتطلب نهجاً متعدد الطبقات يجمع بين المراقبة السلبية والتحقق النشط. يعمل مهندسو الميدان على حافة الشبكة حيث تتجسد هذه التهديدات أولاً.

طرق الكشف: سلبية مقابل نشطة

الكشف السلبي

  • مراقبة رسائل NAS (التسجيل، تحديث المنطقة، Registration)
  • تتبع ارتباط IMEI/IMSI
  • تحليل أنماط الموقع
  • البصمة الراديوية (نفس IMEI، خصائص راديو مختلفة)
  • كشف الشذوذ السلوكي (أنماط المكالمات، استهلاك البيانات)

الكشف النشط

  • التحقق من TAC مقابل قاعدة بيانات GSMA
  • استعلام القائمة السوداء CEIR (فحص EIR فوري)
  • التحقق من رقم Luhn
  • اختبار قدرات الجهاز (أوامر AT، استعلام قدرات UE)
  • تنبيه على تكرار تغيير IMEI

التحقق من TAC مقابل قاعدة GSMA

الفحص الأكثر أساسية: هل TAC في IMEI يتطابق مع جهاز حقيقي؟ عندما يقدم جهاز TAC رقم 35258010 (Samsung Galaxy S24)، يمكن للشبكة التحقق من تطابق القدرات الراديوية المُبلَّغ عنها مع مواصفات S24. إذا ادعى الجهاز أنه Galaxy S24 لكنه يدعم فقط LTE Cat 4 (بينما S24 يدعم 5G NR مع FR1+FR2)، فإن IMEI على الأرجح مُزوَّر.

البصمة الراديوية

كل جهاز إرسال واستقبال راديوي يملك خصائص تناظرية فريدة: دقة قدرة الإرسال، انزياح التردد، عدم توازن I/Q، سمة ضوضاء الطور. عندما يظهر نفس IMEI على موقعين خلويين في وقت واحد، أو عندما يُظهر نفس IMEI توقيعات RF مختلفة بشكل واضح في تسجيلات متتالية، يُؤكَّد الاستنساخ.

هذه التقنية تتطلب الوصول إلى قياسات مستوى النطاق الأساسي. يمكن لـ مفكك شفرة البروتوكول المساعدة في ربط تسجيلات IMEI بأحداث الإشارات.

تحليل NAS لكشف استبدال SIM

يمكن لمهندسي الميدان الذين يحللون تتبعات NAS تحديد مؤشرات استبدال SIM:

  • Registration Request حيث IMEI يبقى دون تغيير لكن IMSI يتغير (استبدال SIM مشروع، لكن يستوجب المتابعة)
  • Registration Request حيث كلاً من IMEI و IMSI يتغيران لنفس MSISDN في نافذة زمنية قصيرة (مؤشر استبدال SIM عالي الثقة)
  • فشل المصادقة على SIM الضحية الأصلية فوراً بعد الاستبدال
  • تحويل تسليم SMS-MT إلى TMSI/GUTI جديد خلال دقائق من تغيير IMSI

الأطر التنظيمية واعتماد CEIR

المشهد التنظيمي لتحقق IMEI يتفاوت بشكل كبير بين المناطق. بعض الدول تفرض تطبيق CEIR في الوقت الفعلي؛ دول أخرى ليس لديها أي متطلبات لتسجيل IMEI.

اعتماد وتطبيق CEIR حسب المنطقة
الهند (CEIR إلزامي منذ 2023)
95%
تركيا (تسجيل IMEI إلزامي)
92%
الاتحاد الأوروبي (CEIR موصى به)
65%
أفريقيا جنوب الصحراء (اعتماد متفاوت)
40%
أمريكا اللاتينية (أطر ناشئة)
30%

الهند: أكبر نشر لـ CEIR

أطلقت وزارة الاتصالات الهندية نظام CEIR الوطني في 2023، مغطياً أكثر من 1.2 مليار اتصال متنقل. يحظر النظام الأجهزة ذات IMEI المكررة أو غير المتوافقة أو المدرجة في القائمة السوداء. في عامه الأول، حدد CEIR الهندي أكثر من 4.5 مليون جهاز بأرقام IMEI مستنسخة أو غير صالحة.

تركيا: تسجيل IMEI إلزامي

تشترط تركيا تسجيل IMEI لكل جهاز يُنشَّط على شبكاتها. الأجهزة المستوردة من الخارج يجب تسجيلها خلال 120 يوماً وإلا تواجه الحظر. قلصت هذه السياسة بشكل ملحوظ السوق الرمادية للأجهزة المستوردة وكبحت عمليات استنساخ IMEI.

الاتحاد الأوروبي: نحو التوحيد

لا يفرض الاتحاد الأوروبي بعد نظام CEIR موحداً، لكن مدونة الاتصالات الإلكترونية الأوروبية تشجع الدول الأعضاء على تنفيذ قواعد بيانات هوية المعدات. عدة دول أعضاء (فرنسا، ألمانيا) تشغل قواعد EIR وطنية تغذي CEIR العالمي لـ GSMA.

الضغط نحو الاعتماد الإلزامي لـ CEIR يتصاعد. مراجعة المفوضية الأوروبية 2025 تتضمن مقترحات لتحقق IMEI موحد عبر جميع الدول الأعضاء.

التأثير على الهندسة الميدانية

بالنسبة لمهندسي الاتصالات في الميدان، احتيال IMEI واستبدال SIM ليسا تهديدين نظريين. يتجليان كشذوذات شبكية غير مفسرة قد تُخلَط بأخطاء تكوين أو مشاكل RF.

مؤشرات رئيسية يجب مراقبتها أثناء اختبارات القيادة وقبول المواقع:

  • أرقام IMEI متطابقة متعددة تسجل على خلايا مختلفة في وقت واحد
  • تناقضات TAC: جهاز يدعي أنه هاتف 5G لكن يسجل بقدرات LTE فقط
  • تكرار غير طبيعي لـ Attach/Registration: نفس IMEI ينفذ عشرات طلبات التسجيل في الساعة
  • تدوير IMSI: نفس IMEI يتنقل بين عدة IMSI بتتابع سريع
  • تناقضات الموقع: IMEI يظهر في خلايا بعيدة جغرافياً في أطر زمنية تتحدى أي انتقال فعلي

هذه الشذوذات مرئية في تتبعات NAS الملتقطة أثناء العمليات الميدانية. المراقبة المنهجية تحول مهندسي الميدان من مراقبين سلبيين إلى خط دفاع أول لكشف الاحتيال.

التحقق من IMEI ليس مجرد تمرين امتثال. إنه الطبقة الأساسية لأمن الشبكة التي تربط هوية الجهاز بثقة المشترك. مع توسع اعتماد CEIR وتعميم مراقبة NAS، تضيق الفجوة بين تنفيذ الاحتيال وكشفه. السؤال أمام المنظمين لم يعد ما إذا كان يجب فرض المشاركة في CEIR، بل بأي سرعة يمكنهم تطبيقها. أين تقف شبكتكم؟

مشاركة: LinkedIn X
Takwa Sebai
Takwa Sebai

مؤسسة HiCellTek. أكثر من 15 عاماً في الاتصالات — جانب المشغل، جانب المصنع، جانب الميدان. تبني الأداة الميدانية التي يستحقها مهندسو RF.

LinkedIn اتصل بنا
هل أنت مستعد للميدان؟

اطلب عرضاً توضيحياً مخصصاً لـ HiCellTek — تشخيص شبكات 2G/3G/4G/5G على Android.

طلب عرض توضيحي عرض المنتج

مقالات ذات صلة

٢٧‏/٣‏/٢٠٢٦
Network Slicing في 5G وتوجيه NIS2: تأمين شرائح البنية التحتية الحيوية
network slicing 5gتوجيه nis2البنية التحتية الحيوية