عصابة صينية وراء موجات التصيد الاحتيالي الأخيرة
عزت «جروب – آي بي»، الشركة العالمية الرائدة في مجال الأمن الإلكتروني ومقرها في سنغافورة، الموجة الأخيرة من عمليات الاحتيال التي تنتحل هوية العديد من الشركات والهيئات العامة في دولة الإمارات العربية المتحدة إلى عصابة تصيد احتيالي ناطقة باللغة الصينية، تحمل الاسم الرمزي “بوستالفوريوس”. وتستهدف هذه العصابة، التي جرى توثيقها لأول مرة من قبل «جروب – آي بي» في أبريل 2023، المستخدمين في منطقة آسيا والمحيط الهادئ من خلال انتحال هوية العلامات التجارية البريدية ومشغلي الأنظمة الإلكترونية للتعرفة المرورية. ويمكن الآن لشركة «جروب – آي بي» أن تؤكد أن المجموعة الاحتيالية قد وسعت عملياتها في دولة الإمارات العربية المتحدة.
وتمكن مركز مكافحة الجريمة الرقمية التابع لمجموعة «جروب – آي بي» في دبي من عزو هذه الحملة إلى عصابة “بوستالفوريوس”، إلى جانب الحملة الاحتيالية الثانية التي استهدفت سكان دولة الإمارات على شكل رسائل من أحد شركات الخدمات البريدية. وكجزء من التزامها بمكافحة الجرائم الإلكترونية، قامت مجموعة «جروب – آي بي» بمشاركة النتائج التي توصلت إليها حيال هذه المجموعة مع شرطة دبي وأصدرت إخطارات للعلامات التجارية التي تم انتحال هويتها.
تلقى سكان دولة الإمارات رسائل مزيفة تطلب منهم الدفع العاجل لرسوم مبالغ متأخرة تحت طائلة الغرامة. واحتوت الرسائل النصية على عنوان إلكتروني مختصر لإخفاء عنوان التصيد الحقيقي. وبمجرد قيام المستخدم بفتح الرابط، تتم إعادة توجيهه إلى صفحة دفع مزيفة تحمل اسم العلامة تجارية.
واستهدف المحتالون اختراق بيانات الدفع الخاصة بالمستخدمين. وأشار فريق التحقيقات السيبرانية التابع لمجموعة «جروب – آي بي» أن الحملة نشطت منذ 15 أبريل 2023 على أقل تقدير.
وعند الفحص الدقيق للبنية التحتية لحملة التصيد الاحتيالي؛ وجد فريق التحقيقات التابعة لمجموعة «جروب – آي بي» حملة احتيال مطابقة تم إطلاقها في 29 أبريل 2023، استخدم خلالها المحتالون نفس الخوادم لاستضافة شبكة أخرى من مواقع التصيد الاحتيالي. الفرق الوحيد بين الحملتين، اللتين شنتا في غضون أسبوعين، هو اسم العلامة التجارية التي تم انتحال هويتها، حيث قام المحتالون في الحملة الأخيرة بانتحال هوية مشغل معروف لخدمة البريد في الإمارات.
كما اعتمدت هذه الموجة الاحتيالية أيضاً على الرسائل النصية القصيرة لتقديم روابط التصيد. حيث تم إرسال الرسائل النصية من أرقام هواتف مسجلة في ماليزيا وتايلاند، وعبر عناوين البريد الإلكتروني من خلال خدمة المراسلة (iMessage). وبالرغم من عدم معرفة عدد الأفراد الذين تم استهدافهم في هذه الحملة، إلا إن خبراء «جروب – آي بي» وجدوا أن عملاء عدد من شركات الاتصالات الإماراتية قد تلقوا رسائل نصية قصيرة خبيثة.
تؤدي عناوين المواقع الموجودة في الرسائل النصية إلى صفحات دفع وهمية تحمل اسم العلامة التجارية وتطلب التفاصيل الشخصية مثل الاسم والعنوان ومعلومات بطاقة الائتمان. وتتطابق صفحات التصيد الاحتيالي هذه مع الاسم والشعار الرسميين لمزود الخدمة البريدية المنتحل.
ولاحظ خبراء «جروب – آي بي» قيام مواقع التصيد التي تم تحديدها باستخدام تقنيات التحكم في الوصول لتجنب الكشف والحظر الآلي، إذ لا يمكن الوصول إلى الصفحات إلا من خلال عناوين بروتوكول الإنترنت في دولة الإمارات العربية المتحدة.
وعزا فريق التحقيقات السيبرانية لدى «جروب – آي بي»، الذي يساعد دائما في العمليات التي يقودها الإنتربول في منطقة الشرق الأوسط وأفريقيا، كلتا الحملتين إلى عصابة تصيد ناطقة بالصينية يطلق عليها اسم “بوستالفوريوس”.
وكانت وحدة التحقيقات السيبرانية التابعة لمجموعة «جروب – آي بي» قد قامت في أوائل عام 2023 بتسمية هذه العصابة التي نشطت أعمالها منذ عام 2021 تحت مسمى بوستالفوريوس. ويعزى هذا الاسم إلى قرار العصابة بانتحال هوية العلامات التجارية البريدية، بالإضافة إلى قدرتها على إنشاء بنى تحتية شبكية كبيرة وبسرعة، والتي تحرص العصابة على تغيرها بشكل متكرر لتجنب اكتشافها بواسطة الأدوات الأمنية المختلفة.
وتضمنت الشفرة المصدرية لمواقع التصيد الاحتيالي التي تستهدف الجهات الإماراتية المتأثرة على تعليقات مكتوبة باللغة الصينية المبسطة، والتي سبق أن شاهدها خبراء مجموعة «جروب – آي بي» خلال أبحاثهم السابقة المرتبطة بعصابة “بوستالفوريوس”. وتم استضافة موارد التصيد لكلتا الحملتين اللتين استهدفتا دولة الإمارات على خوادم ويب متطابقة، وامتازت صفحات الدفع المزيفة بالتصميم نفسه. كما اشتركت البنية التحتية لهذه المخططات الاحتيالية بالعديد من العناصر والرمز التي لوحظت في الحملات التي شنتها عصابة “بوستالفوريوس” التي استهدفت منطقة آسيا والمحيط الهادئ وتم تحليلها سابقاً.
وأكد خبراء وباحثي «جروب – آي بي» أن عصابة “بوستالفوريوس” تسجل مجالات تصيد جديدة يومياً لتوسيع نطاق وصولهم لأهدافهم وبسرعة.
وفي هذا الصدد، قالت آنا يورتايفا، كبيرة مسؤولي التحقيقات الإلكترونية في مركز مكافحة الجريمة الرقمية التابع لمجموعة «جروب – آي بي» في دبي:” أصبح المحتالون يتبعون آليات تصيد واحتيال متقدمة لا يمكن اكتشافها وإيقافها عن طريق الحظر الآلي. لذا يجب أن يحافظ الناس على الحيطة والحذر حيال عمليات الاحتيال المستمرة. إن العمليات الخبيثة لعصابة بوستالفوريوس تظهر طبيعة الجرائم الإلكترونية المنظمة العابرة للحدود، وتؤكد الحاجة لوجود استجابة مشتركة ومنسقة تشمل الجمهور والقطاع الخاص والحكومة”.
كيف يمكن تفادي الوقوع ضحية لجرائم الاحتيال الإلكترونية؟
إن اعتماد ممارسات الرقابة الرقمية القوية، والحفاظ على الحيطة والحذر أثناء الاتصال بالإنترنت يعد من الأمور الهامة للتصدي لعمليات الاحتيال والتصيد. وغالباً ما تحاكي رسائل البريد الإلكتروني المخادعة أو الرسائل النصية القصيرة، الرسائل الشرعية الصادرة من البنوك أو شركات بطاقات الائتمان أو غيرها من المؤسسات الأخرى. ومن الضروري عدم التسرع في تقديم المعلومات والبيانات الشخصية، إذ يتعين البحث عن الموقع الرسمي للشركة، وقراءة التعليقات المنشورة، والاتصال في حال الضرورة بخدمة دعم العملاء. إن قضاء وقت قصير للتحقق من عنوان الموقع الإلكتروني أو اسم الصفحة قد يحدث فرق كبير. إذا كان الموقع الإلكتروني يطلب الكثير من المعلومات الشخصية، خاصة معلومات بطاقة الائتمان، فيجب أن يسأل الشخص نفسه ما إذا كان ذلك ضرورياً.
عادة ما ينتحل المحتالون هوية العلامات التجارية الشرعية والمعروفة، لذا يتعين على مالكي العلامات التجارية مراقبة مواقع التصيد والاحتيال وحظرها بشكل استباقي عند اكتشافها. ويمكن لمنصة «جروب – آي بي» للحماية من المخاطر الرقمية، التي تعد جزءاً من منصة المخاطر الموحدة، أن تساهم في كشف البنية التحتية الاحتيالية والتصدي لها في مراحلها الباكرة.
إن الطريقة الأكثر فعالية للتصدي للجرائم الإلكترونية هي تحديد الجناة والمحتالين وتقديمهم إلى العدالة. وقد أجرى فريق التحقيقات السيبرانية التابع لمجموعة «جروب – آي بي» أكثر من 1000 تحقيقاً ناجحاً في جميع أنحاء العالم لمساعدة الشركات الخاصة وهيئات إنفاذ القانون الدولية على مكافحة الجرائم الرقمية المتقدمة.