مغاربة يتزعمون عملية احتيال دولية على بطاقات الهدايا تحت اسم ‘Jingle Thief’

0 2 دقائق

كشفت منصة Unit 42 التابعة لشركة Palo Alto Networks والمتخصصة في الأمن السيبراني، عن تفاصيل حملة قرصنة دولية واسعة أطلقت عليها اسم “Jingle Thief”، تقودها مجموعة من القراصنة ينشطون انطلاقاً من المغرب، ويستهدفون من خلالها بطاقات الهدايا الرقمية خلال الفترات والمواسم التي تشهد ارتفاعاً في معدلات الاستهلاك.

وتشير نتائج التحقيق إلى أن هذه المجموعة الإجرامية تعتمد على أساليب معقدة في التصيد الاحتيالي عبر البريد الإلكتروني والرسائل النصية، مستهدفةً شركات عالمية في مجالي التجزئة والخدمات الاستهلاكية.

ويهدف هذا الأسلوب إلى الاستيلاء على بيانات الدخول الحساسة، ما يسمح لهم بإصدار بطاقات هدايا غير مصرح بها وتحويلها لاحقاً إلى مكاسب مالية.

وتبرز خطورة هذه المجموعة في قدرتها الاستثنائية على البقاء داخل الأنظمة المخترقة لفترات تتجاوز سنة كاملة، ما يمنح عناصرها معرفة دقيقة بالبنية التقنية للمؤسسات المستهدفة.

وقد سجلت المنصة موجة من الهجمات المتزامنة على شركات كبرى خلال شهري أبريل ومايو الماضيين، ما يعكس المستوى العالي من التنسيق والاحتراف.

ووفقاً للتحقيق، فإن مجموعة “Jingle Thief” تنشط منذ عام 2021 بدوافع مالية بحتة، دون أي صلة بجهات حكومية. لكن رغم ذلك، تعتمد المجموعة على تكتيكات متقدمة واستمرارية ملحوظة في تنفيذ هجماتها.

بعكس مجموعات القرصنة التقليدية، لا تستخدم “Jingle Thief” أي برمجيات خبيثة، بل تعمل كلياً داخل البيئات السحابية بعد الحصول على بيانات ولوج صحيحة عبر التصيد.

وتستغل البنية السحابية لخدمات Microsoft 365، بما فيها SharePoint وOneDrive وExchange وEntra ID، منتحلة هويات مستخدمين شرعيين للوصول إلى ملفات حساسة أو إصدار بطاقات هدايا بأعداد كبيرة.

وفي إحدى الحوادث، تمكن القراصنة من الحفاظ على وصولهم إلى نظام مؤسسة واحدة لمدة 10 أشهر، مخترقين أكثر من 60 حساب مستخدم، معتمدين على نشاط متقطع يتوافق عادة مع فترات الأعياد حيث يقلّ عدد الموظفين وترتفع معاملات بطاقات الهدايا.

لماذا تستهوي بطاقات الهدايا القراصنة؟

تعتبر بطاقات الهدايا هدفاً مثالياً للمهاجمين لعدة أسباب:

سهولة تحويلها إلى نقود عبر منصات البيع غير الرسمية.
صعوبة تتبع عملياتها مقارنة بالتحويلات البنكية.
نقاط ضعف الأنظمة المشغّلة لها، خاصة من حيث ضوابط الوصول.
إمكانية استخدامها حتى في عمليات غسيل الأموال من خلال إعادة بيعها أو تحويلها إلى منتجات.

وقد حاول القراصنة مراراً اختراق تطبيقات إصدار بطاقات الهدايا عالية القيمة داخل شركات مختلفة، مستغلين أي ثغرة تقنية أو ضعف داخلي.

يولي المهاجمون أهمية كبيرة لمرحلة الاستطلاع المسبق، إذ يجمعون بيانات تفصيلية حول كل مؤسسة، مثل تصميمات الصفحات الرسمية، وأنماط البريد الإلكتروني، ونطاقات تسجيل الدخول، ما يمنحهم القدرة على إعداد رسائل احتيالية شديدة الإقناع.

وتبدأ الهجمات عادة برسائل تصيد موجّهة أو رسائل Smishing تحيل الضحايا إلى صفحات تسجيل دخول مزيفة تستنسخ شكل صفحات Microsoft 365. وبعد الحصول على بيانات الاعتماد، يدخل المهاجمون مباشرة إلى حسابات المؤسسة دون أي برمجية خبيثة.

كما يعتمد القراصنة على التصيد الداخلي بعد اختراق الحسابات، حيث يرسلون رسائل احتيالية من داخل المؤسسة نفسها، ما يزيد من مصداقيتها بشكل كبير.

أظهر التحقيق أن الهجمات نُفذت انطلاقاً من عناوين IP مغربية، إذ كشفت سجلات Microsoft 365 عن أنماط دخول متكررة تشير إلى مواقع داخل المملكة، مع استخدام محدود لخدمات VPN مثل “Mysterium”. كما تطابقت بيانات ASN مع مزودي خدمات الإنترنت في المغرب، ما يؤكد بشكل إضافي مصدر النشاط.

وتحذر منصة Unit 42 من أن حملة “Jingle Thief” تمثل نموذجاً جديداً من الهجمات التي تستهدف البنى السحابية دون الحاجة لأي ملف خبيث، ما يجعل اكتشافها أكثر تعقيداً. وتوصي الشركات بضرورة تعزيز مراقبة الأنشطة السحابية، واعتماد سياسات صارمة لإدارة الهويات، واستخدام أنظمة متعددة للتوثيق لحماية أصولها الرقمية.

هذه الحملة، التي نشأت من المغرب وتمتد عبر عدة قارات، تؤكد أن التهديدات السيبرانية أصبحت أكثر احترافية ولامركزية من أي وقت مضى، وأن بطاقات الهدايا باتت باباً جديداً لجرائم إلكترونية تحقق أرباحاً طائلة دون ترك أثر واضح.