قراصنة مغاربة يقودون حملات احتيال دولية تستهدف عملاقات التجزئة والخدمات
كشف تحقيق استقصائي معمق أجرته منصة Unit 42، الذراع المتخصصة في حلول الأمن السيبراني لشركة “Palo Alto Networks”، عن تفاصيل حملة احتيال إلكتروني دولية واسعة النطاق أُطلق عليها اسم “جينغل ثيف” (Jingle Thief).
وأشار التقرير إلى أن هذه الحملة الخطيرة يقودها قراصنة ينشطون من المغرب، وتستهدف تحقيق مكاسب مالية هائلة من خلال الاستيلاء على بطاقات الهدايا الرقمية، خاصةً خلال مواسم التسوق الكبرى. تعتمد شبكة “جينغل ثيف” على تقنيات تصيد متقدمة تشمل البريد الإلكتروني (Phishing) والرسائل النصية القصيرة (Smishing)، بهدف اختراق عمالقة قطاعي التجزئة والخدمات الاستهلاكية حول العالم.
هدفهم الأساسي هو الحصول على بيانات الدخول التي تمكنهم من التسلل إلى الأنظمة الداخلية للشركات وإصدار بطاقات هدايا غير مصرح بها.
ولا يكمن الخطر في الاختراق الأولي فحسب، بل في “القدرة على البقاء”؛ حيث أثبت التحقيق أن المهاجمين يحافظون على موطئ قدم لهم داخل الشبكات المخترقة لفترات زمنية طويلة، تتجاوز العام في بعض الحالات.
وخلال هذه الفترة الطويلة، يكتسب القراصنة “معرفة عميقة” بالبنية التحتية الحيوية للضحايا، مما يجعل عملية اكتشافهم ومعالجتهم بالغة الصعوبة، حيث نجح المهاجمون في إحدى الحالات في اختراق أكثر من 60 حساب مستخدم داخل مؤسسة عالمية واحدة وحافظوا على إمكانية الوصول إلى بياناتها لما يقرب من 10 أشهر.
وأكد تقرير “Unit 42” أن القراصنة، الذين ينشطون بدوافع مالية بحتة منذ عام 2021، يختلفون عن جماعات التهديد التقليدية، فبدلاً من الاعتماد على البرمجيات الخبيثة التقليدية، يعمل مهاجمو “جينغل ثيف” بشكل حصري في البيئات السحابية بمجرد حصولهم على بيانات الاعتماد المسروقة.
فهم يستغلون البنية التحتية السحابية، وخاصة خدمات Microsoft 365 (مثل SharePoint وOneDrive وExchange)، لـ انتحال هوية المستخدمين الشرعيين وتنفيذ احتيال واسع النطاق على بطاقات الهدايا.
كما يستخدم القراصنة تقنية تسمى “التصيد الداخلي” (Internal Phishing)، حيث يرسلون رسائل تصيد من الحساب المخترق إلى موظفين آخرين في المؤسسة ذاتها، محاكين تنبيهات من خدمة تكنولوجيا المعلومات، مما يزيد من مصداقية الهجوم وقدرته على الاستمرار.
ويوضح التحقيق أن بطاقات الهدايا تُعد هدفًا جذابًا للمهاجمين لأسباب عدة، أهمها سهولة استرداد قيمتها وتحويلها إلى نقود بسرعة أو إعادة بيعها في أسواق رمادية، بالإضافة إلى صعوبة تتبعها. والأكثر خطورة هو أن القراصنة يحاولون إصدار بطاقات بقيم عالية واستخدامها كضمان في عمليات غسل الأموال، محوّلين السرقة الرقمية إلى نقد غير قابل للتتبع.
وقبل شن أي هجوم، تستثمر المجموعة بشكل كبير في مرحلة الاستطلاع، حيث تجمع معلومات استخباراتية شاملة عن الهدف، لإنشاء محتوى تصيد “عالي الإقناع” يبدو شرعيًا للمستخدمين ولأدوات الأمان.
الأمر اللافت للنظر الذي أورده تقرير “Unit 42” هو أن أنشطة حملة “جينغل ثيف” نشأت من عناوين IP مغربية، حيث أظهرت سجلات Microsoft 365 بصمات أجهزة وسلوكيات تسجيل دخول متكررة مرتبطة بهذه العناوين.
وعلى عكس الكثير من القراصنة، لم يحاول هؤلاء المهاجمون دائمًا إخفاء أصلهم، وتطابقت بيانات مزودي الاتصالات مع مزودي الاتصالات المغاربة.
