بحثية جديدة حول مصير البيانات المسروقة في هجمات التصيد الاحتيالي

 

 

 عندما يتلقى المستخدمون رسائل بريد إلكتروني تصيدية، يتجاوز الخطر بكثير مجرد النقر الأولي. تبدأ هجمات التصيد الاحتيالي عادةً عندما يُخدع المستخدم ويُدخل بيانات تسجيل الدخول الخاصة به على موقع ويب مزيف.

لكن هذه مجرد البداية. فبمجرد حصول مجرمي الإنترنت على المعلومات المسروقة، تصبح سلعة ثمينة في السوق السوداء.

تتحول البيانات إلى سلعة تُغذي دورة متواصلة من الهجمات والاحتيال قد تستمر لسنوات.

يتطلب فهم النطاق الكامل للتصيد الاحتيالي دراسة ما يحدث بعد الاختراق الأولي.

وقد اكتشفنا الذين يتابعون هذه الحملات أن بيانات الاعتماد المسروقة تسلك مسارًا معقدًا عبر شبكات سرية.

 من جمعها إلى بيعها وإعادة استخدامها، تتضمن كل خطوة أدوات متخصصة وبنية تحتية إجرامية منظمة.

 اكتشفنا هذه العملية الشاملة لماذا تظل تسريبات البيانات القديمة خطيرة وكيف يستغل المهاجمون نفس المعلومات عدة مرات عبر أهداف مختلفة.

 

 

  مراحل حاسمة في دورة حياة البيانات هذه، تُظهر مدى تعقيد عمليات التصيد الاحتيالي الحديثة.

ويُبين البحث أن مجرمي الإنترنت قد طوروا نظامًا فعالًا لتحويل المعلومات المسروقة إلى أدوات هجومية قابلة للتنفيذ ضد ضحايا جدد.

 كيفية جمع بيانات التصيد الاحتيالي ونقلها

شهدت الأساليب التقنية المستخدمة لجمع البيانات المسروقة ونقلها تطورًا ملحوظًا. وقد اكتشفنا  الذين درسوا صفحات التصيد الاحتيالي الحقيقية ثلاثة أساليب رئيسية يستخدمها المهاجمون.

تتمثل الطريقة الأولى في إرسال البيانات مباشرةً إلى عنوان بريد إلكتروني عبر سكربت PHP مُضمّن في صفحة التصيد الاحتيالي.

 ومع ذلك، أصبح هذا النهج أقل شيوعًا بسبب قيود خدمة البريد الإلكتروني، بما في ذلك تأخيرات التسليم وخطر قيام مزودي خدمات الاستضافة بحظر حركة المرور الضارة.

 

 تستخدم طريقة ثانية روبوتات تيليجرام لجمع البيانات. فبدلاً من توجيه المعلومات عبر البريد الإلكتروني، يرسل برنامج PHP النصي بيانات الاعتماد المسروقة إلى واجهة برمجة تطبيقات تيليجرام باستخدام رمز الروبوت ومعرّف المحادثة.

 

 يُوفر هذا الأسلوب للمهاجمين مزايا كبيرة مقارنةً بأساليب البريد الإلكتروني. تصل البيانات فورًا مع إشعارات فورية، ويمكن للمجرمين استخدام برامج آلية مؤقتة يصعب تتبعها وحظرها.

لا تتأثر كفاءة البرنامج الآلي بجودة استضافة صفحات التصيد الاحتيالي، مما يجعل هذه الطريقة شائعة بشكل متزايد بين المهاجمين.

يستخدم المهاجمون الأكثر تطورًا لوحات تحكم متخصصة مثل منصات BPLk وCne.

 تعمل هذه الأطر التجارية كخدمات منصة كخدمة (PaaS) وتوفر لوحات تحكم موحدة لإدارة حملات التصيد الاحتيالي المتعددة.

تُغذّى جميع بيانات الاعتماد التي تم جمعها في قواعد بيانات مركزية يمكن الوصول إليها عبر حسابات المهاجمين، مما يتيح إدارة البيانات المسروقة بكفاءة عالية وتحقيق الربح منها على نطاق واسع.

تمثل هذه البنية التحتية تطورًا هامًا في عمليات التصيد الاحتيالي، إذ تحوّلها من مجرد مخططات بسيطة إلى مؤسسات إجرامية منظمة.