- قام قراصنة كشوف المرتبات بانتحال منصات الموارد البشرية عبر الإعلانات لسرقة بيانات الاعتماد وأكواد MFA
- وتم استهداف أكثر من 200 منصة، مما أثر على حوالي نصف مليون مستخدم
- أتاحت روبوتات Telegram التصيد الاحتيالي في الوقت الفعلي، وامتدت البنية التحتية إلى كازاخستان وفيتنام والمجالات المخفية
حذر الخبراء من أن المحتالين ينتحلون أنظمة الرواتب والاتحادات الائتمانية ومنصات التداول في جميع أنحاء الولايات المتحدة في محاولة لسرقة بيانات اعتماد تسجيل الدخول ورموز المصادقة متعددة العوامل (MFA).
أطلق باحثو الأمن السيبراني من Check Point على الجناة اسم “Payroll Pirates”، الذين يستخدمون الإعلانات المدفوعة على الشبكات الشهيرة مثل Google أو Bing للإعلان عن كشوف المرتبات وبوابات الموارد البشرية المخادعة.
عندما يبحث الموظف الضحية عن النظام الأساسي الذي يختاره (بدلاً من مجرد كتابة العنوان في شريط العناوين)، سيرى الموقع المزيف يتم الترويج له في الأعلى. أولئك الذين نقروا على الرابط دون قصد وحاولوا تسجيل الدخول قاموا بنقل بيانات اعتمادهم بشكل فعال إلى المهاجمين.
العودة أقوى
وبمرور الوقت، استهدفت العملية أكثر من 200 منصة واجتذبت ما يقدر بنصف مليون مستخدم، كما يزعم الباحثون.
وبدا أن الحملة أصبحت خاملة في أواخر عام 2023، لكنها عادت في منتصف عام 2024 بأدوات تصيد مطورة قادرة على تجاوز المصادقة الثنائية.
استخدم المشغلون روبوتات Telegram للتفاعل مع الضحايا في الوقت الفعلي، وطلب رموز لمرة واحدة وإجابات أمنية أخرى. كما تم إعادة تصميم الواجهة الخلفية للمجموعات لإخفاء مسارات استخراج البيانات، مما يجعل اكتشاف البنية التحتية أو تفكيكها أكثر صعوبة.
نظرًا لأن المجموعة تدير مجموعتين رئيسيتين للبنية التحتية، فقد اعتقدت Check Point أن هذه عبارة عن حملات متعددة ومختلفة.
يستخدم أحدهما إعلانات Google وعمليات إعادة التوجيه “الصفحة البيضاء” المستضافة في كازاخستان وفيتنام، بينما يعتمد الآخر على إعلانات Bing والنطاقات القديمة التي تمت تصفيتها من خلال خدمات إخفاء الهوية. ومع ذلك، توصل التحقيق اللاحق إلى أن هذا كله كان جزءًا من شبكة واحدة موحدة. وأظهرت السجلات ما لا يقل عن أربعة مسؤولين يديرون قنوات تيليجرام مرتبطة بأهداف مختلفة، مثل منصات الرواتب والاتحادات الائتمانية وبوابات مزايا الرعاية الصحية.
حتى أنهم وجدوا أحد المشرفين ينشر مقطع فيديو من أوديسا، وخلص إلى أن واحدًا على الأقل من المشغلين يقيم في أوكرانيا. حذرت Check Point في النهاية من أن قراصنة الرواتب ما زالوا نشطين، ويعملون باستمرار على تحسين تكتيكاتهم، ويستهدفون أي شخص ينتقل راتبه عبر الإنترنت.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات