نشرت مجموعة آي بي، وهي شركة عالمية رائدة في مجال الأمن السيبراني ومقرها سنغافورة، منشوراً جديداً على مدونتها يشرح بالتفصيل حملة احتيال جديدة ومستمرة تستهدف الناطقين باللغة العربية في منطقة الشرق الأوسط وأفريقيا. اكتشف خبراءحماية المخاطر الرقمية (DRP) في مركز استخبارات وبحوث التهديدات التابع لمجموعة آي بي في دبي، الإمارات العربية المتحدة، وحللوا أكثر من 2400 صفحة عمل مزيفة انتحلت شخصيات شركات من 13 دولة في الشرق الأوسط وأفريقيا تم إنشاؤها على الشبكات الاجتماعية من يناير 2022 حتى يناير 2023.
في هذه الصفحات، انتحل المحتالون أكثر من 40 من أكبر الشركات في منطقة الشرق الأوسط وأفريقيا ونشروا وظائف شاغرة باللغة العربية تقدم رواتب جيدة جداً بحيث لا يمكن تصديقها ؛ حيلة الهندسة الاجتماعية التي تهدف إلى جعل الضحايا يتفاعلون مع المنشور بهدف نهائي تتمثل في سرقة الجهات الفاعلة في التهديد لبيانات اعتماد حساب الشبكة الاجتماعية للمستخدم.
ولتحقيق هذا الهدف، يضع المحتالون روابط لمواقع احتيال في المنشورات المنشورة على وسائل التواصل الاجتماعي المزيفة. مواقع الاحتيال هذه مرتبطة بصفحات التصيد الاحتيالي التي يُطلب من الضحية إدخال بيانات تسجيل الدخول وكلمات المرور الخاصة بها. اكتشف محللو مجموعة- IB أن المحتالين انتحلوا في أغلب الأحيان شخصيات شركات من مصر والمملكة العربية السعودية والجزائر طوال فترة حملة الاحتيال هذه.
ومن أجل التحقيق في حملة الاحتيال هذه، استخدم محللو مجموعة- IB منصة DRP الخاصة بالشركة، مستفيدين من تقنية الذكاء الاصطناعي وتحليل الشعار الدقيق للغاية وميزات التعرف على النص. لدى مجموعة- IB سياسة عدم التسامح مطلقاً مع الجرائم الإلكترونية؛ فتم حظر أي من الصفحات التي تم اكتشافها في حملة الاحتيال هذه والتي انتحلت عملاء مجموعة- IB.
جعلت سياسة الخصوصية على العديد من الشبكات الاجتماعية الرائدة – التي تحد من وصول الجمهور إلى المعلومات المتعلقة بمنشئي الملفات الشخصية الفردية وقرار المحتالين بإنشاء صفحات الاحتيال والتصيد الاحتيالي على حلول روابط الكل في واحد الرخيصة أو المجانية – من المستحيل تحديد ما إذا كانت جميع صفحات الاحتيال التي يزيد عددها عن 2400 صفحة قد تم إنشاؤها بواسطة مجموعة واحدة. علاوة على ذلك، تستهدف هذه المشكلة حصرياً الأفراد الذين لن يعرفوا أن بيانات اعتمادهم قد تم اختراقها، مما يحد من رؤية ضحية الوسيط المعرّف للمجموعة. وعلى الرغم من ذلك، سيواصل باحثو حماية المخاطر الرقمية في المجموعة IB مراقبة هذه المشكلة، والعمل على ضمان إزالة أي صفحات تتناسب مع اسم ومثال الشركات المتضررة.
كانت حملة الاحتيال هذه ملحوظة بسبب كل من عدد الصفحات المزيفة التي تم إنشاؤها والعدد الكبير من البلدان المستهدفة. في المجموع، اكتشفت مجموعة آي بي ديجيتال ريسك بروتكشن أكثر من 2400 صفحة تنتحل أكثر من 40 علامة تجارية بارزة في منطقة الشرق الأوسط وأفريقيا.
وتستهدف الحملة حصرياً مستخدمي الإنترنت الناطقين باللغة العربية، حيث يتم نشر جميع الإعلانات باللغة العربية. كما كانت الشركات في مصر هي الأكثر انتحالاً من قبل المحتالين، حيث أن 48 ٪ من جميع الملفات الشخصية المزيفة التي تم إنشاؤها على فيسبوك لانتحال الشركات من هذا البلد. كما تم محاكاة منظمات من المملكة العربية السعودية (23 ٪ من جميع صفحات الاحتيال) والجزائر (16 ٪) وتونس (7 ٪) والمغرب (4 ٪) بشكل متكرر. أما من حيث الإطار الزمني، فلوحظت حملة الاحتيال هذه لأول مرة في يناير 2022، وبلغت ذروتها في النشاط في أغسطس الماضي، عندما تم إنشاء 609 صفحات احتيال جديدة. ولا يزال إنشاء صفحات احتيال جديدة قائماً على أساس يومي، وفي يناير 2023، تم اكتشاف 108 ملفات تعريف على فيسبوك تنشر وظائف شاغرة مزيفة من شركات الشرق الأوسط وأفريقيا، وهو إجمالي أعلى من القيم الشهرية لشهري نوفمبر وديسمبر 2022.
قام باحثو مجموعة- IB بتحليل الوظائف الشاغرة المزيفة ووجدوا أن العديد من المشاركات ادعت أنها تقدم رواتب للوظائف منخفضة ومتوسطة المهارة التي هي جيدة للغاية بحيث لا يمكن أن تكون حقيقية كوسيلة لجذب الضحايا. زعمت إحدى الصفحات التي انتحلت سمعة شركة نفط مرموقة في الجزائر أنها تقدم رواتب شهرية قدرها 4500 يورو (4800 دولار أمريكي) للسائقين والرسامين. في صفحات أخرى، تم الإعلان عن رواتب أكثر واقعية، حيث ذكر ملف شخصي يقلد شركة ألبان سعودية أن العمال يمكن أن يتوقعوا الحصول على ما يزيد عن 3500 ريال سعودي (حوالي 930 دولاراً).
ووضع المحتالون الذين أطلقوا هذه الحملة أنظارهم على قطاعات متعددة، على الرغم من أن صناعة الخدمات اللوجستية كانت الأكثر استهدافاً حيث تم اكتشاف 64 ٪ من الملفات الشخصية التي اكتشفتها شركات مجموعة- IB من هذا القطاع. وقد أشارت مجموعة- IB في وقت سابق إلى أن المحتالين الذين يستهدفون مستخدمي MEA مغرمون بشكل خاص بانتحال شخصية شركات الخدمات اللوجستية بسبب عائد الاستثمار المحتمل المرتفع. كما تم انتحال الصناعات الغذائية (20 ٪ من صفحات الاحتيال) والبترول (12 ٪) بشكل كبير من قبل المحتالين. وتم انتحال شخصية شركة واحدة على أكثر من 1000 صفحة مزيفة. فكانت الأهداف الرئيسية الأخرى في هذه الحملة هي شركة ألبان في المملكة العربية السعودية وشركة لوجستية جزائرية، تم استخدام علاماتهما التجارية في أكثر من 300 و 200 صفحة على التوالي، حيث زعمت بعض الصفحات التي تم تحديدها في حملة الاحتيال هذه أنها تقدم وظائف للأفراد في كأس العالم لكرة القدم 2022 في قطر.
نشر باحثو مجموعة – IB، الذين شاركوا في جهود إنفاذ القانون الدولي نتائجهم في كشف البضائع المزيفة والتذاكر المزيفة وحيل الوظائف المزيفة، والتي تضمنت اكتشاف أكثر من 16000 مجال احتيال، في أواخر عام 2023.
إقناع المستخدمين بخدعة وهمية
يعتمد نجاح أي حملة احتيال على قدرة الجهات الفاعلة في التهديد على انتحال شخصية الشركة بشكل مقنع. ففي مخطط الاحتيال هذا، ظهرت الغالبية العظمى من صفحات فيسبوك المزيفة بالاسم الرسمي للعلامة التجارية المتأثرة. تتضمن معظم الملفات الشخصية أيضاً كلمة (وظائف) في عنوانها.
وغالباً ما تكون صفحات الاحتيال هذه بسيطة جداً وتحتوي فقط على زر “ارسال”. والأهم من ذلك، أنها غالبا ما تحتوي على العلامة التجارية للشركة المعنية جنبا إلى جنب مع وصف للوظائف التي يدّعون أنها شاغرة. بمجرد أن ينقر الضحية على زر “ارسال”، يتم إعادة توجيهه دائماً إلى صفحة تصيد احتيالي تنتحل شبكة اجتماعية رئيسية، مثل فيسبوك.
إذا أدخل المستخدم بريده الإلكتروني/رقم هاتفه وكلمة المرور الخاصة به، فإن المحتالين لديهم كل ما يحتاجونه للوصول إلى حساب الشبكة الاجتماعية للضحية. وفي حالات نادرة، يتم استخدام صفحات ويب الاحتيال الأولية لإعادة توجيه المستخدمين إلى صفحات احتيال أخرى.
وقال شريف هلال، رئيس فريق تحليلات DRP التابع لمجموعة IB في الشرق الأوسط وشمال إفريقيا: “هذه الحالة مهمة لأنها تستهدف مستخدمي الإنترنت الفرديين في الشرق الأوسط وشمال إفريقيا على فيسبوك، وهي شبكة اجتماعية تحظى بشعبية كبيرة في المنطقة”. وأضاف “لقد حدد باحثو DRP في مجموعة- IB عمليات احتيال مع تكتيكات وتقنيات وإجراءات مماثلة في الماضي وسنواصل الاستفادة من هذه التجربة إلى جانب القوة الكاملة لتقنيات المجموعة للكشف عن موارد الاحتيال وإزالتها لضمان الأمن الرقمي للشركات ومستخدمي الإنترنت. ومن خلال هذا البحث، نأمل في زيادة الوعي في منطقة الشرق الأوسط وأفريقيا بالحيل التي يرغب المحتالون في القيام بها، مثل استهداف الباحثين عن عمل، لسرقة أوراق اعتمادهم وربما التسبب في خسائر مالية لهم “.
تعرض عمليات الاحتيال الهادفة لسرقة بيانات الاعتماد الضحايا لمخاطر كبيرة إذا استخدموا نفس المزيج من اسم المستخدم/البريد الإلكتروني وكلمة المرور للحسابات على منصات أخرى ؛ لا سيما تلك المتعلقة بالتمويل الشخصي، مثل محافظ العملات المشفرة والمحافظ الاستثمارية. بالإضافة إلى ذلك، شهد خبراء مجموعة- IB حالات استخدم فيها المحتالون حسابات مخترقة لمشاركة روابط الاحتيال والتصيد الاحتيالي مع مستخدمين آخرين، ويمكن لجهات التهديد أيضاً طلب المال من الضحية لاسترداد الحساب. الشركات والعلامات التجارية التي استولى عليها المحتالون تخاطر بخسارة سمعتها.
نشرت مجموعة آي بي، وهي شركة عالمية رائدة في مجال الأمن السيبراني ومقرها سنغافورة، منشوراً جديداً على مدونتها يشرح بالتفصيل حملة احتيال جديدة ومستمرة تستهدف الناطقين باللغة العربية في منطقة الشرق الأوسط وأفريقيا. اكتشف خبراءحماية المخاطر الرقمية (DRP) في مركز استخبارات وبحوث التهديدات التابع لمجموعة آي بي في دبي، الإمارات العربية المتحدة، وحللوا أكثر من 2400 صفحة عمل مزيفة انتحلت شخصيات شركات من 13 دولة في الشرق الأوسط وأفريقيا تم إنشاؤها على الشبكات الاجتماعية من يناير 2022 حتى يناير 2023.
في هذه الصفحات، انتحل المحتالون أكثر من 40 من أكبر الشركات في منطقة الشرق الأوسط وأفريقيا ونشروا وظائف شاغرة باللغة العربية تقدم رواتب جيدة جداً بحيث لا يمكن تصديقها ؛ حيلة الهندسة الاجتماعية التي تهدف إلى جعل الضحايا يتفاعلون مع المنشور بهدف نهائي تتمثل في سرقة الجهات الفاعلة في التهديد لبيانات اعتماد حساب الشبكة الاجتماعية للمستخدم.
ولتحقيق هذا الهدف، يضع المحتالون روابط لمواقع احتيال في المنشورات المنشورة على وسائل التواصل الاجتماعي المزيفة. مواقع الاحتيال هذه مرتبطة بصفحات التصيد الاحتيالي التي يُطلب من الضحية إدخال بيانات تسجيل الدخول وكلمات المرور الخاصة بها. اكتشف محللو مجموعة- IB أن المحتالين انتحلوا في أغلب الأحيان شخصيات شركات من مصر والمملكة العربية السعودية والجزائر طوال فترة حملة الاحتيال هذه.
ومن أجل التحقيق في حملة الاحتيال هذه، استخدم محللو مجموعة- IB منصة DRP الخاصة بالشركة، مستفيدين من تقنية الذكاء الاصطناعي وتحليل الشعار الدقيق للغاية وميزات التعرف على النص. لدى مجموعة- IB سياسة عدم التسامح مطلقاً مع الجرائم الإلكترونية؛ فتم حظر أي من الصفحات التي تم اكتشافها في حملة الاحتيال هذه والتي انتحلت عملاء مجموعة- IB.
جعلت سياسة الخصوصية على العديد من الشبكات الاجتماعية الرائدة – التي تحد من وصول الجمهور إلى المعلومات المتعلقة بمنشئي الملفات الشخصية الفردية وقرار المحتالين بإنشاء صفحات الاحتيال والتصيد الاحتيالي على حلول روابط الكل في واحد الرخيصة أو المجانية – من المستحيل تحديد ما إذا كانت جميع صفحات الاحتيال التي يزيد عددها عن 2400 صفحة قد تم إنشاؤها بواسطة مجموعة واحدة. علاوة على ذلك، تستهدف هذه المشكلة حصرياً الأفراد الذين لن يعرفوا أن بيانات اعتمادهم قد تم اختراقها، مما يحد من رؤية ضحية الوسيط المعرّف للمجموعة. وعلى الرغم من ذلك، سيواصل باحثو حماية المخاطر الرقمية في المجموعة IB مراقبة هذه المشكلة، والعمل على ضمان إزالة أي صفحات تتناسب مع اسم ومثال الشركات المتضررة.
كانت حملة الاحتيال هذه ملحوظة بسبب كل من عدد الصفحات المزيفة التي تم إنشاؤها والعدد الكبير من البلدان المستهدفة. في المجموع، اكتشفت مجموعة آي بي ديجيتال ريسك بروتكشن أكثر من 2400 صفحة تنتحل أكثر من 40 علامة تجارية بارزة في منطقة الشرق الأوسط وأفريقيا.
وتستهدف الحملة حصرياً مستخدمي الإنترنت الناطقين باللغة العربية، حيث يتم نشر جميع الإعلانات باللغة العربية. كما كانت الشركات في مصر هي الأكثر انتحالاً من قبل المحتالين، حيث أن 48 ٪ من جميع الملفات الشخصية المزيفة التي تم إنشاؤها على فيسبوك لانتحال الشركات من هذا البلد. كما تم محاكاة منظمات من المملكة العربية السعودية (23 ٪ من جميع صفحات الاحتيال) والجزائر (16 ٪) وتونس (7 ٪) والمغرب (4 ٪) بشكل متكرر. أما من حيث الإطار الزمني، فلوحظت حملة الاحتيال هذه لأول مرة في يناير 2022، وبلغت ذروتها في النشاط في أغسطس الماضي، عندما تم إنشاء 609 صفحات احتيال جديدة. ولا يزال إنشاء صفحات احتيال جديدة قائماً على أساس يومي، وفي يناير 2023، تم اكتشاف 108 ملفات تعريف على فيسبوك تنشر وظائف شاغرة مزيفة من شركات الشرق الأوسط وأفريقيا، وهو إجمالي أعلى من القيم الشهرية لشهري نوفمبر وديسمبر 2022.
قام باحثو مجموعة- IB بتحليل الوظائف الشاغرة المزيفة ووجدوا أن العديد من المشاركات ادعت أنها تقدم رواتب للوظائف منخفضة ومتوسطة المهارة التي هي جيدة للغاية بحيث لا يمكن أن تكون حقيقية كوسيلة لجذب الضحايا. زعمت إحدى الصفحات التي انتحلت سمعة شركة نفط مرموقة في الجزائر أنها تقدم رواتب شهرية قدرها 4500 يورو (4800 دولار أمريكي) للسائقين والرسامين. في صفحات أخرى، تم الإعلان عن رواتب أكثر واقعية، حيث ذكر ملف شخصي يقلد شركة ألبان سعودية أن العمال يمكن أن يتوقعوا الحصول على ما يزيد عن 3500 ريال سعودي (حوالي 930 دولاراً).
ووضع المحتالون الذين أطلقوا هذه الحملة أنظارهم على قطاعات متعددة، على الرغم من أن صناعة الخدمات اللوجستية كانت الأكثر استهدافاً حيث تم اكتشاف 64 ٪ من الملفات الشخصية التي اكتشفتها شركات مجموعة- IB من هذا القطاع. وقد أشارت مجموعة- IB في وقت سابق إلى أن المحتالين الذين يستهدفون مستخدمي MEA مغرمون بشكل خاص بانتحال شخصية شركات الخدمات اللوجستية بسبب عائد الاستثمار المحتمل المرتفع. كما تم انتحال الصناعات الغذائية (20 ٪ من صفحات الاحتيال) والبترول (12 ٪) بشكل كبير من قبل المحتالين. وتم انتحال شخصية شركة واحدة على أكثر من 1000 صفحة مزيفة. فكانت الأهداف الرئيسية الأخرى في هذه الحملة هي شركة ألبان في المملكة العربية السعودية وشركة لوجستية جزائرية، تم استخدام علاماتهما التجارية في أكثر من 300 و 200 صفحة على التوالي، حيث زعمت بعض الصفحات التي تم تحديدها في حملة الاحتيال هذه أنها تقدم وظائف للأفراد في كأس العالم لكرة القدم 2022 في قطر.
نشر باحثو مجموعة – IB، الذين شاركوا في جهود إنفاذ القانون الدولي نتائجهم في كشف البضائع المزيفة والتذاكر المزيفة وحيل الوظائف المزيفة، والتي تضمنت اكتشاف أكثر من 16000 مجال احتيال، في أواخر عام 2023.
إقناع المستخدمين بخدعة وهمية
يعتمد نجاح أي حملة احتيال على قدرة الجهات الفاعلة في التهديد على انتحال شخصية الشركة بشكل مقنع. ففي مخطط الاحتيال هذا، ظهرت الغالبية العظمى من صفحات فيسبوك المزيفة بالاسم الرسمي للعلامة التجارية المتأثرة. تتضمن معظم الملفات الشخصية أيضاً كلمة (وظائف) في عنوانها.
وغالباً ما تكون صفحات الاحتيال هذه بسيطة جداً وتحتوي فقط على زر “ارسال”. والأهم من ذلك، أنها غالبا ما تحتوي على العلامة التجارية للشركة المعنية جنبا إلى جنب مع وصف للوظائف التي يدّعون أنها شاغرة. بمجرد أن ينقر الضحية على زر “ارسال”، يتم إعادة توجيهه دائماً إلى صفحة تصيد احتيالي تنتحل شبكة اجتماعية رئيسية، مثل فيسبوك.
إذا أدخل المستخدم بريده الإلكتروني/رقم هاتفه وكلمة المرور الخاصة به، فإن المحتالين لديهم كل ما يحتاجونه للوصول إلى حساب الشبكة الاجتماعية للضحية. وفي حالات نادرة، يتم استخدام صفحات ويب الاحتيال الأولية لإعادة توجيه المستخدمين إلى صفحات احتيال أخرى.
وقال شريف هلال، رئيس فريق تحليلات DRP التابع لمجموعة IB في الشرق الأوسط وشمال إفريقيا: “هذه الحالة مهمة لأنها تستهدف مستخدمي الإنترنت الفرديين في الشرق الأوسط وشمال إفريقيا على فيسبوك، وهي شبكة اجتماعية تحظى بشعبية كبيرة في المنطقة”. وأضاف “لقد حدد باحثو DRP في مجموعة- IB عمليات احتيال مع تكتيكات وتقنيات وإجراءات مماثلة في الماضي وسنواصل الاستفادة من هذه التجربة إلى جانب القوة الكاملة لتقنيات المجموعة للكشف عن موارد الاحتيال وإزالتها لضمان الأمن الرقمي للشركات ومستخدمي الإنترنت. ومن خلال هذا البحث، نأمل في زيادة الوعي في منطقة الشرق الأوسط وأفريقيا بالحيل التي يرغب المحتالون في القيام بها، مثل استهداف الباحثين عن عمل، لسرقة أوراق اعتمادهم وربما التسبب في خسائر مالية لهم “.
تعرض عمليات الاحتيال الهادفة لسرقة بيانات الاعتماد الضحايا لمخاطر كبيرة إذا استخدموا نفس المزيج من اسم المستخدم/البريد الإلكتروني وكلمة المرور للحسابات على منصات أخرى ؛ لا سيما تلك المتعلقة بالتمويل الشخصي، مثل محافظ العملات المشفرة والمحافظ الاستثمارية. بالإضافة إلى ذلك، شهد خبراء مجموعة- IB حالات استخدم فيها المحتالون حسابات مخترقة لمشاركة روابط الاحتيال والتصيد الاحتيالي مع مستخدمين آخرين، ويمكن لجهات التهديد أيضاً طلب المال من الضحية لاسترداد الحساب. الشركات والعلامات التجارية التي استولى عليها المحتالون تخاطر بخسارة سمعتها.
تحث مجموعة- IB مستخدمي الإنترنت على توخي الحذر والتحقق دائماً من عنوان URL عند اتباع الروابط التي يُزعم أنها تؤدي إلى موقع الويب الخاص بالشركة، خاصةً إذا تم الوصول إلى هذه الروابط على وسائل التواصل الاجتماعي أو إرسالها عبر المراسلة. بالإضافة إلى ذلك، يجب على المستخدمين تمكين المصادقة الثنائية (2FA) لحساباتهم عبر الإنترنت لتوفير طبقة إضافية من الأمان يمكن أن تمنع عمليات الاحتيال مثل هذه، ويجب عليهم أيضاً التأكد من عدم استخدام نفس كلمة المرور لحسابات متعددة. ننصح الشركات بالاستفادة من حلول DRP لمراقبة علامات إساءة استخدام العلامة التجارية على الإنترنت والكشف الفوري عن أي تهديدات قد تؤدي إلى عمليات احتيال ومنعها.
تحث مجموعة- IB مستخدمي الإنترنت على توخي الحذر والتحقق دائماً من عنوان URL عند اتباع الروابط التي يُزعم أنها تؤدي إلى موقع الويب الخاص بالشركة، خاصةً إذا تم الوصول إلى هذه الروابط على وسائل التواصل الاجتماعي أو إرسالها عبر المراسلة. بالإضافة إلى ذلك، يجب على المستخدمين تمكين المصادقة الثنائية (2FA) لحساباتهم عبر الإنترنت لتوفير طبقة إضافية من الأمان يمكن أن تمنع عمليات الاحتيال مثل هذه، ويجب عليهم أيضاً التأكد من عدم استخدام نفس كلمة المرور لحسابات متعددة. ننصح الشركات بالاستفادة من حلول DRP لمراقبة علامات إساءة استخدام العلامة التجارية على الإنترنت والكشف الفوري عن أي تهديدات قد تؤدي إلى عمليات احتيال ومنعها.