«غروب - آي بي» تكشف عن حملة تصيُّد إلكتروني واسعة تنتحل هوية إحدى شركات توظيف العمالة الرائدة في المملكة العربية السعودية

الرياض، المملكة العربية السعودية، 14 نوفمبر 2022: كشفت شركة «غروب – آي بي»، الشركة العالمية الرائدة في مجال الأمن الإلكتروني، اليوم عن دراسة بحثية مرتبطة بمخطط تصيد إلكتروني واسع يقوم خلاله المحتالين بانتحال هوية إحدى الشركات الرائدة المتخصصة بتوظيف العمالة في المملكة العربية السعودية. ونجح فريق الاستجابة للطوارئ الحاسوبية التابع لمجموعة «غروب – آي بي»، وفريق الحماية من المخاطر الرقمية العامل في مركز أبحاث واستقصاء بيانات التهديدات التابع للشركة في دبي بالإمارات العربية المتحدة، في تحديد أكثر من ألف اسم نطاق احتيالي مزيف تم إنشاؤه بهدف انتحال هوية الشركة المتخصصة بخدمات توظيف العمالة، كجزء من حملة احتيال طويلة وواسعة النطاق.

وكشف خبراء «غروب – آي بي» عن ادعاء فرد واحد بأنه يقدم أكثر من 100 اسم نطاق يرتبط بشكل أو بآخر باسم الشركة المعنية. وتماشياً مع سياسة عدم التسامح التي تتبعها «غروب – آي بي» تجاه الجرائم الإلكترونية، قام محللو الشركة بإخطار فريق الاستجابة لطوارئ الكمبيوتر السعودي، العضو الجمعية العامة لفريق الاستجابة للطوارئ الحاسوبية في منظمة التعاون الإسلامي، بالنتائج التي توصلوا إليها لمساعدة شركائهم في المنطقة في اتخاذ الإجراءات اللازمة للتصدي لهذا المخطط.

يُمكن الاطلاع على التفاصيل الكاملة للمخطط الاحتيالي في المنشور الجديد على مدونة «غروب – آي بي».

وأسفرت العمليات الاحتيالية خلال العام 2021 عن سرقة أكثر من 55 مليار دولار من الضحايا، وفقاً لتقرير حالة التصيد العالمي الذي ساهمت في إعداده شركة «غروب – آي بي». وتشير نتائج الأبحاث الأخيرة التي أجرتها «غروب – آي بي» إلى أن هناك حاجة ماسة للتصدي للمحتالين، حيث أشارت هذه التقارير إلى أن عمليات الاحتيال تمثل 57% من إجمالي الجرائم الإلكترونية ذات الدوافع المالية. كما أشار تحالف مكافحة الاحتيال العالمي إلى أن عدد عمليات الاحتيال يتزايد بنسبة تزيد عن 10% بشكل سنوي. في حين كشف التقرير أيضاً أن معظم عمليات التصيد الاحتيالي في الشرق الأوسط تستهدف المستخدمين في المملكة العربية السعودية.

ولطالما شكلت انتحال أسماء النطاقات، أو ما يعرف بتزوير المواقع الإلكترونية أو نطاقات البريد إلكتروني لإضفاء المصداقية على المواقع أو رسائل البريد الإلكتروني الخبيثة، أحد الأساليب البارزة المتبعة من قبل مجرمي الإنترنت في جميع أنحاء العالم، ونشهد حالياً وبشكل منتظم ظهور مخططات احتيالية جديدة تنذر بالخطر. وكانت شركة «غروب – آي بي» قد كشفت في شهر يوليو الماضي عن أكثر من 270 اسم نطاق انتحل أسماء أكثر من اثني عشر علامة تجارية متخصصة بالخدمات البريدية واللوجستية في جميع أنحاء الشرق الأوسط في حملة احتيال منفصلة.

ومع ذلك، فإن مخطط الاحتيال الذي انتحل هوية شركة الخدمات البريدية الذي حددته «غروب – آي بي» كان أصغر حجماً مقارنة بحملة انتحال جديدة واسعة لأسماء النطاقات ومواقع الويب استهدفت المستخدمين في المملكة العربية السعودية، فعلى مدار الـ 16 شهراً الماضية، حدد خبراء «غروب – آي بي» أكثر من 1000 اسم نطاق مزيف مرتبط بشركة سعودية واحدة، هي شركة رائدة متخصصة بتوظيف العمالة ومساعدة الشركات في تعيين الموظفين في قطاع البناء والخدمات، بالإضافة إلى توظيف العمالة المنزلية، وهي الفئة التي تم استهدافها من خلال حملة الاحتيال هذه.

وبدا أن الحملة، التي تم إطلاقها في أبريل 2021، قد بلغت ذروتها في شهر مارس 2022، عندما تم تسجيل أكثر من 200 اسم نطاق جديد ينتحل اسم الوكالة المعنية لدى الشركات المزودة لخدمات الاستضافة. يعتقد خبراء «غروب – آي بي» أن الزيادة في أسماء النطاقات الجديدة المسجلة في شتاء عام 2021 قد يشير إلى أن عدداً متزايداً من مستخدمي الإنترنت قد وقعوا ضحية لهذا المخطط. وكما لوحظ في أمثلة أخرى حول العالم، غالباً ما يعتمد المحتالون على تكتيك معين بمجرد أن يؤتي ثماره ويبدأ بجني الأموال لهم.

يمكن الاطلاع على تحليل كامل للجدول الزمني للمخطط أدناه:

Chart, histogram

Description automatically generated

وبالتزامن مع تصاعد وتيرة حملة التصيد، أصدرت مؤسسات مالية في المملكة العربية السعودية في أبريل 2022 تحذيراً من وجود زيادة كبيرة في عمليات الاحتيال التي تستهدف القطاع المالي في المملكة في العام السابق.

ويفترض خبراء «غروب – آي بي» أن الانخفاض اللاحق الذي شهده عدد أسماء النطاقات المزيفة الجديدة المسجلة شهريًا التي تنتحل هوية شركة التوظيف كان نتيجة التحذيرات التي أصدرتها السلطات المالية في السعودية والمؤسسات الحكومية وشركة توظيف العمالة نفسها. ومع ذلك، فإن الكشف عن تسجيل 32 اسم نطاق جديد في شهر سبتمبر 2022 فقط يظهر أن المحتالين لا يزالون يحاولون انتحال هوية الشركة الضحية.

وفقًا لنتائج «غروب – آي بي»، فإن السبب الأبرز وراء مخطط الاحتيال هذا هو التحالف غير المعلن بين المحتالين ووسطاء بيع أسماء النطاقات المزيفة. يرى هذا التحالف أن السماسرة يشترون حقوق العشرات من أسماء النطاقات التي تحتوي على تباين مطبعي أو صوتي للعلامة التجارية التي يتم انتحال هويتها، ويعرضونها للبيع بسعر منخفض للمحتالين.

وتهدف عناوين المواقع الإلكترونية وأساليب تصميم الصفحات الاحتيالية التي تم إنشاؤها كجزء من هذه الحملة إلى تقليد الشركة المزودة لخدمات توظيف العمالة بشكل مقنع، وخداع المستخدمين لإدخال بيانات اعتمادهم الخاصة بالخدمات المصرفية والبوابات الحكومية المختلفة عبر الإنترنت. ويمكن للمحتالين جمع معلومات تسجيل الدخول وأكواد مصادقة المرور الثنائية (2FA) للوصول وإتمام المعاملات الاحتيالية.

تبدأ حملة الاحتيال، التي تستند إلى طبقات متعددة من الهندسة الاجتماعية، مع قيام المحتالين بوضع إعلانات على مواقع التواصل الاجتماعي المختلفة مثل فيسبوك، وتويتر، ومحرك البحث غوغل. وقد اكتشف خبراء «غروب – آي بي» أكثر من 40 إعلاناً فردياً لهذا المخطط الاحتيالي على موقع فيسبوك وحده.

A screenshot of a phone

Description automatically generated with low confidence

مثال لإعلان على موقع فيسبوك أنشأه المحتالون (على اليسار) يحتوي على رابط لبدء محادثة عبر الواتس آب (على اليمين) حيث يطلب المجرمون من الضحية النقر فوق عنوان URL (الموضوع تحته خط) الذي ينقل المستخدم إلى صفحة الويب الخاصة بالتصيُّد

من هنا، يبدأ الضحايا بالتفاعل مع المحتالين عبر الرسائل النصية القصيرة أو رسائل الواتس آب، ويمكن الاطلاع أدناه على تحليل كامل لتجربة الضحية مع هذه الحملة:

A screenshot of a computer

Description automatically generated with medium confidence

تحتوي صفحات التصيد التي أنشأها المحتالون على الشعار الرسمي للعلامة التجارية المستهدفة كوسيلة لإضفاء الشرعية والمصداقية لدى الضحايا

صفحة تصيُّد تحتوي على شعار العلامة التجارية للضحية (تم تعميته) لجعلها تبدو شرعية

عند الوصول إلى الصفحة الرئيسية للموقع الاحتيالي، يتم توجيه الضحية للنقر فوق الزر الأخضر الكبير الذي كتب عليه “تقديم الطلب”. بمجرد القيام بذلك، يتم نقل الضحية إلى صفحة ثانية حيث يُطلب منها إدخال معلوماته الشخصية.

صفحة التصيد التي تطلب من المستخدمين إضافة الاسم ورقم الهاتف والعنوان ورقم الهوية الوطنية. بعد إضافة البيانات المطلوبة، يتعين على المستخدم النقر على زر “تقديم الطلب”

بعد إدخال المعلومات الشخصية والنقر على زر “تقديم الطلب”، يتم إعادة توجيه الضحية إلى صفحة تطلب منه تحديد جنسية العامل المنزلي الذي يرغب بتوظيفه.

بعد النقر على زر “تقديم الطلب”، يتم نقل الضحية إلى صفحة التصيد التالية، حيث يُطلب منه تحديد جنسية العامل المنزلي الذي يرغب بتوظيفه

في المرحلة التالية من عملية الاحتيال يقوم الضحايا باختيار نوع الخدمة المنزلية التي يحتاجونها (على سبيل المثال، الخدمة المؤقتة بالساعة، أو الإقامة في المنزل).

موقع تصيد يحتوي على مجموعة من خدمات العمالة المنزلية التي يزعم المحتالون أنهم يقدمونها للمستخدمين

بمجرد الانتهاء من هذه الخطوات، يتم نقل الضحية إلى صفحة تطلب منه دفع رسوم معاملة قليلة تبلغ 50 أو 100 ريال سعودي (حوالي 13 دولاراً أو 27 دولاراً). ولن تتم هذه المعاملة بشكل فعلي، فهي مجرد خدعة تمكن المحتالين من الحصول على بيانات الاعتماد، ويتم منح الضحايا خيار إجراء هذه المعاملة المزيفة إما عن طريق الدفع المصرفي أو باستخدام بوابة الخدمات الحكومة السعودية.

Graphical user interface, application, website

Description automatically generated

يتم منح الضحايا خيار إجراء هذه المعاملة المزيفة إما عن طريق الدفع المصرفي أو باستخدام البطاقة الائتمانية لما يعتقدون أنه رسوم معاملة بقيمة 50 أو 100 ريال سعودي، على الرغم من أن هذه المعاملة، التي لا يتم اعتمادها، هي خدعة لسرقة بيانات تسجيل الدخول للمستخدمين

وبغض النظر عن الطريقة التي يختار بها الضحية إجراء عملية الدفع الوهمية، سوف يتم تحويلهم إما إلى صفحة تحاكي واحداً من 11 بنكاً إقليمياً أو موقع ويب ينتحل شخصية بوابة حكومية سعودية. ويتم توجيه الضحية إلى صفحة بنك مزيفة أو صفحة بوابة مزيفة بشكل عشوائي في أغلب الأحيان. في كلتا الحالتين، يتم جمع بيانات تسجيل دخول الضحية ورمز مصادقة المرور الثنائي (2FA) بواسطة المحتالين.

Graphical user interface, text, application, chat or text message

Description automatically generated

صفحة تصيد يُطلب فيها من الضحية دفع رسوم معاملة وهمية لدى واحد من 11 بنكاً رائداً في المنطقة

بعد النقر على صورة البنك الذي يتم اختياره، يُطلب من الضحية إدخال بيانات تسجيل الدخول وكلمة المرور

صفحة تصيُّد تحاكي بوابة خدمات حكومية سعودية تطلب من المستخدم إدخال رمز المصادقة الثنائية (2FA) الذي يستلمه المستخدم بمجرد محاولة المحتالين تسجيل الدخول إلى البوابة الحكومية الحقيقية باستخدام بيانات الاعتماد التي تم الحصول عليها في الخطوة السابقة

بمجرد قيام الضحية بإدخال البيانات، يقوم المهاجمون بجمع بيانات تسجيل الدخول الخاصة بالضحية ورمز المصادقة الثنائية الذي يمكن استخدامه للوصول إلى حساب بنك الضحية أو حساب البوابة الحكومية، والبدء بإجراء معاملات احتيالية حتى يتم سرقة كامل رصيد الحساب.

ومن المثير أيضاً أن أسماء النطاقات التي حددتها «غروب – آي بي» في حملة الاحتيال هذه مسجلة لدى نفس الشركات الشهيرة المزودة لخدمات الاستضافة والتي تمتاز بأسعار معقولة كما لوحظ في العديد من مخططات التصيد الاحتيالي الأخرى. يوضح هذا الأمر لجوء المحتالون في جميع أنحاء العالم لاستخدام تكتيكات مماثلة، مثل إطلاق نطاقات إنترنت لدى مزودي خدمات استضافة تمتاز بأسعارها الرخيصة وسهولة عملية التسجيل لديها، لاستهداف الضحايا في جميع أنحاء العالم.

وفي هذا الصدد، قال مارك ألباتسكي، كبير المحللين لدى فريق الاستجابة للطوارئ الحاسوبية التابع لمجموعة «غروب – آي بي»: “تهدف هذه الدراسة بشكل أساسي إلى زيادة المعرفة والوعي العام حول أحدث هجمات التصيد الاحتيالي في الشرق الأوسط، ودعوة مستخدمي الإنترنت إلى الحيطة و الحذر في ظل استمرار جهات التهديد الفاعلة بانتحال هوية بعض أكبر الشركات في المنطقة بشكل مقنع ومتزايد. أصبح المحتالون أكثر حيلة وتعاوناً، كما أن وسطاء النطاقات الاحتيالية باتوا يحرصون على مساعدة مجرمي الإنترنت. وندعو الشركات والمؤسسات على مراقبة علامات إساءة استخدام العلامة التجارية، كما نحث مستخدمي الإنترنت على توخي الحيطة والحذر حتى لا يقعوا ضحايا لعمليات الاحتيال”.

وبهدف منع وقوع المزيد من هجمات التصيُّد باستخدام أسماء النطاقات الاحتيالية، ينبغي على الشركات والمؤسسات مراقبة علامات إساءة استخدام العلامة التجارية عبر الإنترنت، بما في ذلك على وسائل التواصل الاجتماعي التي غالباً ما يستخدمها المحتالون للإعلان عن صفحات التصيُّد الخاصة بهم. ويساعد حل حماية المخاطر الرقمية من «غروب – آي بي» الشركات والمؤسسات على تأمين أصولها الرقمية من خلال المراقبة المستمرة والتلقائية لملايين الموارد عبر الإنترنت حيث غالباً ما تتواجد العلامة التجارية أو الملكيات الفكرية.

ونحث مستخدمي الإنترنت على توخي الحذر والتحقق دائماً من أسماء وعناوين الصفحات والمواقع الإلكترونية التي يستخدمونها لمعرفة ما إذا كانت هي المواقع الرسمية المقصودة قبل إدخال أي بيانات شخصية أو تفاصيل دفع. كما نوصي أيضاً باستخدام خدمات الدردشة عبر الإنترنت أو مراكز الاتصال من خلال القنوات الرسمية للشركات والمؤسسات.