حملة «بريد احتيالي» تسرق ملايين الدولارات من شركات عالمية

كشفت شركة «آي بي إم»، التي تعد من أكبر شركات التقنية في العالم، عن أن مهاجمين ومحترفين في الجريمة الالكترونية شنوا خلال الفترة الأخيرة حملة بريد إلكتروني احتيالي هاجمت عدداً كبيراً من الشركات حول العالم، من بينها شركات مسجلة في قائمة «فورتشن» لأكبر 500 شركة عالمية، مشيرة إلى أن المهاجمين استخدموا في حملتهم أشكالاً متطورة وغير مسبوقة من أدوات «الهندسة الاجتماعية» التي يصعب ملاحظتها واكتشافها، الأمر الذي مكنهم من سرقة ملايين الدولارات من الشركات التي تعرضت للهجوم.

ونشرت شبكة «زد دي نت» المتخصصة في تقنية المعلومات تقريراً عن الواقعة، أفادت فيه بأن باحثي أمن المعلومات في «آي بي إم» أوضحوا أن المهاجمين اعتمدوا في هذه الحملة على أنماط بالغة التطور من تقنية الهندسة الاجتماعية التي تعد تقنية شائعة الاستخدام في هجمات وحملات البريد الاحتيالي، يعتمد فيها المهاجمون على فهم سلوك الضحية ومحاكاتها، ودرس بعض تصرفاتها التي تخدم المهاجم، لتقوم بالتفاعل معه وكأنها تؤدي عملها، في حين أنها في الحقيقة تنفذ ما يريد المهاجم.

وذكر الباحثون في وحدة «القوة إكس» التابعة لـ«آي بي إم» والمتخصصة في الاستجابة للحوادث والخدمات الاستخباراتية، أن المهاجمين شنوا حملة بريد احتيالي متطورة بصورة لا تصدق، تمت إدارتها للاستيلاء على ملايين من الدولارات من العديد من الشركات حول العالم.

عناوين رقمية

وبين الباحثون أن الحملة المعتمدة على عناوين رقمية «آي بي» ظهرت في البداية بنيجيريا، واستخدمت أسلوباً يعرف بالسيطرة على البريد الإلكتروني للأعمال أو «بي إي سي»، والذي يتم من خلاله السطو على حسابات البريد الالكتروني المسجلة في نظم البريد الالكتروني الداخلية الخاصة العاملة داخل المؤسسات والشركات، ويتم توزيعها على الموظفين والعاملين، وليس حسابات البريد الالكتروني المسجلة في خدمات البريد الالكتروني العامة، مثل «جيميل» و«ياهو» وغيرهما.

وأضافوا أنه للوهلة الأولى يبدو كأنه لا يوجد شيء فريد من نوعه في هذه الحملة، يميزها أو يفصلها عن غيرها من حملات البريد الالكتروني الاحتيالي، حيث إن المهاجمين أرسلوا، كما هو معتاد، مرفقات وهمية الى عناوين البريد الالكتروني المسجلة في نظم البريد الالكتروني الخاصة التابعة للمؤسسات والشركات، والتي تم اختراقها في السابق ونشرها عبر صفحات ومواقع الانترنت العميقة أو السوداء، على أمل أن يقوم شخص ما بفتحها.

وتابع الباحثون أن القراصنة لم يرسلوا مع هذه الرسائل أي برامج ضارة أو شيفرات برمجية خبيثة، حتى لا يثيروا انتباه نظم المراقبة والكشف عن الفيروسات والبرمجيات الخبيثة، وإنما أرسلوا فقط رابطاً يحيل المستخدم الذي يضغط عليه الى صفحة دخول وهمية، تستولي على بيانات الاعتماد والمصادقة الخاصة بمستخدم البريد الالكتروني، مثل اسم المستخدم وكلمات المرور، والبيانات الأخرى الخاصة التي تخول له الدخول إلى النظم المؤمنة داخل الشركة.

وأشار باحثو «آي بي إم» إلى أنهم عثروا على أكثر من 100 من هذه الرسائل التي تقود الى صفحات تسجيل دخول وهمية، كما أنه بمزيد من التدقيق تبين أن هذه الصفحات تابعة لمجموعة وربما مجموعات من الأشخاص، يشاركون في الحملة، ويديرونها على نطاق واسع.

انتشار واسع

وأوضح الباحثون أن هذه الحملة تقوم على مبدأ الانتشار واسع النطاق بلا تمييز للأهداف، وترك الأمور تمضي بمنطق المصادفة البحتة، والصبر والانتظار إلى حين وقوع الخطأ البشري من موظف هنا أو هناك، يضغط على الرابط المرفق ويتوجه الى صفحة الدخول الوهمية، لتبدأ عملية الاستيلاء على بياناته الحساسة، ثم استغلالها بعد ذلك بكل هدوء في الولوج الى النظم المؤمّنة بطريقة مشروعة.

ووفقاً للباحثين فإنه في هذه الحملة يعتبر الاستيلاء على بيانات المصادقة والاعتماد الخاصة بالموظف أو العامل صاحب الحساب الإلكتروني الضحية هو مجرد «خدش للسطح» فقط، لكن العملية برمتها تحدث بعد ذلك، لأن المهاجمين لا يختارون هدفاً بعينه في البداية، إلا إنهم بعد الحصول على بيانات المصادقة والاعتماد والولوج للشبكات الداخلية، يبدأون البحث عن أهداف محددة بدقة، وهي الحسابات المستحقة الدفع داخل المؤسسات والشركات، والتي تحتوي على الأموال المطلوب أن تقوم الشركة أو المؤسسة الضحية بدفعها لأطراف أخرى تتعامل معها.

وبينوا أنه من خلال السيطرة على هذه الحسابات، يقوم المجرمون والمهاجمون بإيهام موظفي الشركة بتنفيذ عملية الدفع، لكنهم في هذه اللحظة يحولون هذه الاموال إلى حسابات تابعة لهم، بدلاً من جعلها تذهب إلى الحسابات الخاصة بالأطراف التي تتعامل معها الشركة.