مجرمون يدفعون لموظفي الشركات مقابل اختراق الأنظمة من الداخل

كشفت شركة Check Point Research في تقرير جديد عن تصاعد ظاهرة تجنيد موظفين من داخل الشركات الكبرى في مجالات البنوك والاتصالات والتقنية، بهدف منح القراصنة السيبرانيين وصولاً مباشراً إلى الشبكات الخاصة والمعلومات الحساسة.

وبدلاً من الاكتفاء بالهجمات التقنية التقليدية مثل كسر كلمات المرور أو استغلال الثغرات، يلجأ المهاجمون إلى استقطاب الأشخاص من داخل المؤسسة، بعروض مالية تصل إلى 15 ألف دولار مقابل تمرير معلومات أو توفير وصول داخلي.

مكافآت ضخمة مقابل البيانات الحساسة

يذكر التقرير أن المكافآت المالية تختلف بحسب نوع الوصول أو نوع الملفات المطلوبة، حيث تتراوح بين 3 آلاف إلى 15 ألف دولار، في حين عرضت قاعدة بيانات تحتوي على 37 مليون سجل من إحدى منصات العملات المشفرة مقابل 25 ألف دولار على منصات الإنترنت المظلم.

وبحسب الباحثين، لا تقتصر وسائل التجنيد على الإغراء المالي فقط، بل تشمل أيضاً استغلال العواطف والضغوط النفسية، إذ نشر إعلان في يوليو يحث الموظفين على الهروب من دوامة العمل التي لا تنتهي عبر التعاون مع القراصنة مقابل مكافآت من 5 إلى 6 خانات.

شركات كبرى وأهداف متعددة

أظهر التقرير أن قائمة الأهداف تضم شركات شهيرة مثل Coinbase وBinance وKraken وGemini، إضافة إلى كيانات استشارية مثل Accenture وGenpact، وعلامات استهلاكية كبرى مثل Spotify وNetflix.

توسع التهديد ليشمل الشركات المصنعة للهواتف الذكية مثل Apple وSamsung وXiaomi، حيث يتم عرض ما يصل إلى 10 آلاف دولار لموظفي خدمات الحوسبة السحابية مقابل وصول داخلي.

وفي الولايات المتحدة، استهدف المهاجمون شركات اتصالات مثل Cox Communications ضمن هجمات تبادل شرائح الاتصال SIM-swapping لتجاوز أنظمة التحقق بخطوتين، كما ظهرت محاولات استقطاب لموظفين في البنك الاحتياطي الفيدرالي الأمريكي وبعض البنوك الأوروبية الكبرى للحصول على بيانات الحوالات المصرفية.

جماعات الفدية تستخدم تيليغرام لجذب المتعاونين

يشير التقرير إلى أن هذه الأنشطة لا تقتصر على مواقع شبكات الإنترنت المظلم، إذ بدأت بعض مجموعات الفدية باستخدام تطبيق تيليغرام كقناة للتواصل مع وسطاء الوصول، وتقديم عروض تعاون لتشفير بيانات الشركات وتقاسم العوائد المالية. إحدى هذه المجموعات بلغ عدد أعضائها نحو 400 شخص وأطلقت بوابة خاصة لهذا النوع من النشاط.

حادثة CrowdStrike تؤكد خطورة التهديد الداخلي

في واقعة تعكس خطورة هذا النمط، أعلنت شركة CrowdStrike المختصة بالأمن السيبراني عن فصل أحد موظفيها في نوفمبر 2025 بعد اكتشافه وهو يسرب معلومات داخلية إلى جهة خارجية يعتقد أنها مرتبطة بشبكة Scattered Lapsus Hunters.

وبحسب Check Point، فإن مثل هذه الهجمات يصعب اكتشافها لأن الموظفين المتورطين يمتلكون القدرة على تعطيل أنظمة الدفاع الداخلية، ما يجعل الحماية التقليدية غير فعالة. وخلص التقرير إلى ضرورة أن تراقب الشركات نشاطها على الدارك ويب لرصد أي إشارات إلى أسمائها أو أنظمتها، مع تشديد الرقابة على من يملك صلاحية الوصول إلى بياناتها الحساسة.