كشفت منصة “Unit 42” المتخصصة في الأمن السيبراني، التابعة لشركة “Palo Alto Networks”، عن وجود حملة احتيال إلكتروني دولية تُعرف بـ “جينغل ثيف”، يقودها قراصنة مغاربة يهدفون إلى تحقيق أرباح مالية من خلال بطاقات الهدايا الرقمية خلال الفترات الاحتفالية. تعتمد الحملة على استخدام تقنيات التصيد الاحتيالي عبر البريد الإلكتروني والرسائل النصية لاستهداف الشركات العالمية في قطاعات التجزئة والخدمات الاستهلاكية، بغرض الحصول على بيانات دخول تتيح لهم إصدار بطاقات هدايا غير مصرح بها.
أشار التحقيق إلى أن ما يجعل هؤلاء المهاجمين خطرين بشكل خاص هو قدرتهم على البقاء داخل المؤسسات المستهدفة لفترات طويلة، أحيانًا لأكثر من عام، مما يمكنهم من اكتساب معرفة عميقة عن الأنظمة الداخلية وكيفية الوصول إلى البنية التحتية الحيوية، وهذا يجعل عملية اكتشافهم والتعامل معهم صعبة للغاية. وقد نفذ هؤلاء المهاجمون، في شهري أبريل وماي الماضيين، مجموعة من الهجمات المنسقة على عدة شركات عالمية.
وأوضح المصدر أن حملة “جينغل ثيف” بدأت عام 2021 وتركزت بشكل رئيسي على الشركات العالمية في قطاعات التجزئة والخدمات الاستهلاكية، رغم عدم ارتباطهم بدولة معينة، لكن تكتيكاتهم تظهر تطورا واستمرارية في العمليات. وبدلاً من استخدام البرمجيات الخبيثة التقليدية، يعمل المهاجمون بشكل أساسي في السحابة بعد الحصول على بيانات الاعتماد عبر التصيد، حيث يستغلون البنية التحتية السحابية لتقليد الهوية وإجراء احتيالات واسعة النطاق على بطاقات الهدايا.
وأكد التحقيق أن المهاجمين تمكنوا من الوصول إلى البيانات لمدة تقارب 10 أشهر، واختراق أكثر من 60 حساب مستخدم داخل مؤسسة عالمية واحدة، حيث شمل نشاطهم استخدام خدمات مثل “Microsoft 365″، مما يتطلب مراقبة دقيقة لأعمالهم عبر فترة زمنية طويلة. وغالبًا ما يزامن المهاجمون نشاطهم مع أوقات الأعياد لزيادة فرص الاحتيال خلال فترات نقص العمالة وزيادة الإنفاق على بطاقات الهدايا.
وأفاد التحقيق بأن بطاقات الهدايا تظل جذابة للمهاجمين بسبب سهولة استردادها وتحويلها إلى نقود، بالإضافة إلى إمكانية إعادة بيعها بأسعار مخفضة في الأسواق الرمادية وصعوبة تتبعها. وقد حاول المهاجمون عدة مرات الوصول إلى تطبيقات إصدار بطاقات الهدايا وعقدوا نوايا لإصدار بطاقات ذات قيمة عالية لتحقيق مكاسب مالية، حيث قد يستخدمونها لاحقاً في عمليات غسيل الأموال.
كما أن المهاجمين يستثمرون بشكل كبير في جمع المعلومات الاستخباراتية حول أهدافهم، بما في ذلك كيفية تسجيل الدخول والعلامات التجارية، مما يسمح لهم بإنشاء محتوى تصيد مقنع. وغالبًا ما يبدأون هجماتهم برسائل تصيد مخصصة أو رسائل نصية احتيالية لجذب الضحايا إلى بوابات تسجيل دخول مزيفة تشبه تلك الشرعية لـ “Microsoft 365”.
أكد التحقيق أن هذه الأنشطة نشأت من عناوين IP مغربية، مع وجود سجلات من “Microsoft 365” تثبت ارتباطها. وعلى عكس العديد من الجهات التي تخفي مواقعها، لم يحاول هؤلاء المهاجمون التمويه واستخدموا أحيانًا خدمة VPN باسم “Mysterium” عند الدخول إلى الحسابات المخترقة، كما كانت بيانات الـASN تشير إلى مزودي الاتصالات المغاربة.
