منذ منتصف 2023، بدأت مجموعات إجرامية تعمل تحت اسم Payroll Pirates، تنفيذ حملة احتيال رقمية تستهدف أنظمة الرواتب والاتحادات الائتمانية ومنصات التداول داخل الولايات المتحدة. وتعتمد هذه المجموعات على أسلوب malvertising، حيث تظهر إعلانات مزيفة في محركات البحث وتدفع المستخدمين إلى مواقع تصيد مصممة لإيهامهم بأنها صفحات الدخول الرسمية لمنصاتهم المعتمدة. وما إن يدخل الموظفون بياناتهم حتى ترسل مباشرة إلى المهاجمين الذين يعيدون توجيه دفعات الرواتب إلى حساباتهم.
وتشير الأبحاث إلى أن الحملة توسعت تدريجياً لتشمل أكثر من 200 منصة، واستهدفت أكثر من 500,000 مستخدم. وبدأت العملية عبر إعلانات Google تظهر في أعلى نتائج البحث للموظفين الذين يبحثون عن بوابات الموارد البشرية. وبمجرد النقر على الإعلان، ينتقل المستخدمون إلى صفحة تصيد تحاكي تماماً صفحة تسجيل الدخول الأصلية. وبعد إدخال اسم المستخدم وكلمة المرور، ترسل البيانات فوراً إلى المهاجمين عبر قنوات اتصال خفية.
تعاون بين مجموعات مختلفة وهجمات تتطور باستمرار
رصدت Check Point النشاط للمرة الأولى في مايو 2023 بعد اكتشاف مواقع تصيد متعددة تحاكي منصات رواتب مختلفة. وكشفت التحقيقات أن العملية تقودها شبكات مترابطة من مجموعات إجرامية تشترك في الأدوات والأساليب نفسها، بينما تحتفظ كل مجموعة بنطاقاتها وطرقها الخاصة لجمع البيانات المسروقة.
وتوقفت الحملة مؤقتاً في نوفمبر 2023، لكن المهاجمين عادوا في يونيو 2024 بأساليب أكثر تطوراً. فقد أصبحت صفحات التصيد قادرة على تجاوز التحقق الثنائي عبر استخدام بوتات تدير محادثات مباشرة مع الضحايا عبر Telegram. وعندما يدخل المستخدم كلمة المرور، يرسل البوت طلباً فورياً للحصول على رمز التحقق أو إجابات الأسئلة الأمنية، ما يسمح للمهاجمين بالحصول على بيانات إضافية خلال ثوانٍ.
كما اعتمدت البنى الخلفية للهجوم على سكربتات PHP بأسماء بسيطة مثل xxx.php وcheck.php وanalytics.php لتجنب اكتشافها، مع إعادة تصميم آليات جمع البيانات لتفادي الرصد التقليدي.
آلية سرقة البيانات في الزمن الفعلي
يعد تجاوز التحقق الثنائي والتفاعل المباشر مع الضحايا أخطر ما في هذه العملية. فعندما يدخل المستخدم إلى صفحة التصيد ويكتب بيانات الدخول، ترسل مباشرة عبر بوت في Telegram يعمل بمثابة مركز التحكم للشبكة كاملة. ويستخدم هذا النظام في الهجوم على منصات متعددة تشمل الاتحادات الائتمانية وأنظمة الرواتب وخدمات مزايا الرعاية الصحية ومنصات التداول.
ويرسل بوت تنبيهات إلى المشغلين الذين يتفاعلون مع الضحايا لحظة بلحظة، عبر طلب الرموز المؤقتة والمعلومات الإضافية. ويتم هذا التواصل خلال ثوانٍ معدودة، ما يجعل المستخدم غير قادر على إدراك أنه ضحية قبل فوات الأوان.
وتعتمد مجموعات التصيد على أدوات ديناميكية تتغير بحسب آليات الحماية في المنصات المستهدفة، إذ تقوم الصفحات بتحميل نماذج مختلفة حسب ما إذا كان الموقع الأصلي يستخدم أسئلة أمنية أو رسائل تحقق بالبريد الإلكتروني أو مصادقة عبر الهاتف.
وترتبط السكربتات الخلفية بقنوات مشفرة ترسل بيانات الضحايا إلى المهاجمين دون أي إشارات يمكن لأنظمة المراقبة رصدها. ويؤدي ذلك إلى بنية هجوم يصعب تعطيلها لغياب نقاط مكشوفة يمكن استهدافها أو حجبها.
في المحصلة، تعكس هذه العملية تطوراً كبيراً في أساليب الاحتيال الرقمية، وانتقالها من حملات التصيد التقليدية إلى بنى معقدة متعددة المجموعات وقادرة على التفاعل المباشر مع المستخدمين والاستيلاء على بياناتهم في الزمن الفعلي، ما يستدعي من المؤسسات تعزيز قدرات الرقابة على الإعلانات وروابط البحث، وتحديث أساليب المصادقة، واعتماد حلول حماية تعتمد على التحليل السلوكي بدلاً من الاكتفاء بآليات التحقق التقليدية.
