حملات الشحنات الوهمية تتوسع في الشرق الأوسط وأفريقيا وتستهدف البيانات البنكية عبر التصيد المباشر

يشهد الشرق الأوسط وأفريقيا نمواً متزايداً في حملات الاحتيال الرقمي التي تتخفى خلف ستار إشعارات تتبع الشحنات، حيث يستغل المهاجمون الاعتماد اليومي الواسع على خدمات البريد والتجارة الإلكترونية لتحويل رسائل التسليم الروتينية إلى قناة لاختراق البيانات الشخصية والمالية. 

وتفيد بيانات بحثية صادرة عن مؤسسة Group-IB أن هذا النمط من الاحتيال خضع للمراقبة منذ مطلع عام 2024، قبل أن يسجل قفزة حادة خلال عام 2025، في موجات يرجح ارتباطها بمواسم العطلات وزيادة الضغط على الخدمات اللوجستية. 

ويأتي هذا التهديد ضمن سياق اجتماعي أوسع، إذ تشير تقارير الاتحاد البريدي العالمي لعام 2024 إلى أن الخدمات البريدية تخدم قرابة 7.3 مليار نسمة، بينما تؤكد بيانات Statista شحن نحو 161 مليار طرد عالمياً في عام 2022 وحده، ما جعل سلاسل التوصيل هدفاً مثالياً لعمليات احتيالية يسهل على الضحايا تصديقها وتكرارها.

تبدأ الدورة الاحتيالية برسالة نصية قصيرة مجهولة المصدر تفيد بتعذر تسليم شحنة لأسباب تقنية أو إعادتها بعد محاولات فاشلة، ثم تطلب الرسالة من المستلم تحديث عنوانه أو دفع مبالغ زهيدة مقابل رسوم جمركية أو ضرائب للإفراج عن الطرد. وتصاغ هذه الرسائل بلهجة رسمية عاجلة تدفع المستخدم للتفاعل السريع، وعند النقر على الرابط، يتم توجيهه إلى صفحات تصيد احتيالي مصممة بدقة لتطابق واجهات شركات الشحن العالمية. وتركز هذه الصفحات على العمل بكفاءة عبر الهواتف الذكية لضمان صعوبة التمييز البصري بينها وبين المواقع الرسمية، خاصة مع استخدام روابط تتضمن صيغاً مألوفة مثل index.html لإضفاء صبغة الموثوقية وتسهيل فتحها على المتصفحات المحمولة.

اتساع نطاق الاستهداف الإقليمي والتحول نحو نموذج التصيد كخدمة

تجاوزت هذه المخططات حدود انتحال شركات الشحن لتشمل قطاعات متنوعة مثل المتاجر الإلكترونية، وتطبيقات النقل، وخدمات سداد الفواتير الحكومية، ومنصات الاتصالات، ما يؤكد تحول فكرة الشحنة المتأخرة إلى مدخل لمنظومة تصيد شاملة. 

ووفقاً للإحصاءات المرصودة بين ديسمبر 2025 وفبراير 2026، تصدرت مصر قائمة الدول الأكثر استهدافاً بواقع 119 حادثة، تلاها جنوب إفريقيا بـ 20 حادثة، ثم غانا وكينيا. وكشفت البنية التشغيلية لهذه الحملات عن مستوى عالٍ من التنظيم، حيث رصد الخبراء تكراراً في عناوين IP وسجلات النطاقات، مع استخدام امتدادات منخفضة الكلفة وسهلة التسجيل مثل .xyz و.top و.shop، التي تمنح المهاجمين مرونة في تبديل البنية التحتية فور حجب أي رابط مشبوه.

وتشير السمات التقنية إلى ارتباط وثيق بين هذه المواقع ومنصة تصيد خدمية تُعرف باسم Darcula، وهي منصة ناطقة بالصينية وتنشط في أكثر من 100 دولة. وتوفر هذه المنصة للمهاجمين أكثر من 20 ألف نطاق مزيف وما يزيد عن 200 قالب جاهز لانتحال العلامات التجارية الكبرى. 

وبرزت Darcula كخدمة إجرامية متطورة منذ عام 2023، حيث تقدم أدوات تقنية متقدمة تتيح للمحتالين العمل بصورة خفية ومنظمة بعيداً عن الجهود الفردية العشوائية، ما يعزز من قدرة هذه الحملات على الانتشار السريع واستهداف مؤسسات حكومية ومالية وملاحية بفعالية عالية.

التقنيات المتقدمة لسرقة البيانات في الزمن الفعلي وآليات التتبع

تكمن الخطورة الفائقة لهذه الحملات في قدرتها على التقاط البيانات لحظة كتابتها، حيث كشف التحليل التقني عن وجود شيفرات برمجية تفتح اتصال WebSocket بمجرد فتح الصفحة. تتيح هذه القناة للمهاجم استلام المدخلات فور طباعتها وقبل ضغط زر الإرسال، بما يشمل أرقام البطاقات البنكية، ورموز CVV، والرموز لمرة واحدة OTP. كما تمنح الشيفرة معرفاً فريداً لكل ضحية، وهو ما يسمح للمهاجمين بتتبع الجلسات الفردية بدقة وفرز البيانات المسروقة بأسلوب تنظيمي متطور يبتعد تماماً عن العشوائية.

وتعتمد عمليات الإرسال على أرقام هواتف محلية أو انتحال هويات لتظهر الرسائل الاحتيالية ضمن سلاسل الرسائل الشرعية السابقة، لإضعاف دفاعات المستخدم واستغلال ضغط الوقت والحاجة الفعلية لتسلم الطرود. 

وتخلص مخرجات الرصد التقني من Group-IB إلى أن هذا النوع من الاحتيال بات ظاهرة مستدامة تستفيد من تداخل التجارة الرقمية مع تفاصيل الحياة اليومية، حيث يراهن المهاجمون على منطق الثقة السريعة في الخدمات المتكررة.