حذرت وكالة التحقيقات الفيدرالية الأمريكية (FBI) من تزايد استغلال المحتالين السيبرانيين للهوية المؤسسات المالية بهدف سرقة الأموال أو المعلومات الحساسة، وتسهيل عمليات الاحتيال المعروفة باسم “الاستيلاء على الحسابات” (ATO).
تستهدف هذه الأنشطة الأفراد والشركات والمؤسسات بمختلف أحجامها وقطاعاتها، وقد أدت إلى خسائر تجاوزت 262 مليون دولار منذ بداية العام، بحسب الوكالة التي تلقت أكثر من 5,100 شكوى.
تحذير أمريكي حول تصاعد احتيال الاستيلاء على الحسابات
يعرف احتيال الاستيلاء على الحسابات (ATO) عادةً بأنه هجمات تمكن الجهات الخبيثة من الحصول على وصول غير مصرح به إلى مؤسسة مالية عبر الإنترنت، أو نظام رواتب، أو حساب توفير صحي، لسحب البيانات والأموال لتحقيق مكاسب شخصية. يتم الحصول على هذا الوصول غالبًا عبر تقنيات الهندسة الاجتماعية، مثل الرسائل النصية والمكالمات ورسائل البريد الإلكتروني التي تستغل مخاوف المستخدمين، أو عن طريق مواقع إلكترونية وهمية.
تتيح هذه الأساليب للمهاجمين خداع المستخدمين للإفصاح عن بيانات تسجيل الدخول الخاصة بهم على مواقع التصيد الاحتيالي، وفي بعض الحالات، يحثونهم على النقر على رابط للإبلاغ عن معاملات احتيالية مزعومة تم تسجيلها ضد حساباتهم.
“يقوم المحتال السيبراني بالتلاعب بصاحب الحساب لدفعه للإفصاح عن بيانات تسجيل الدخول الخاصة به، بما في ذلك رموز المصادقة متعددة العوامل (MFA) أو رموز المرور لمرة واحدة (OTP)، وذلك بانتحال صفة موظف في مؤسسة مالية، أو موظف دعم عملاء، أو تقني دعم”، بحسب ما ذكرت وكالة FBI.
يدخل المحتال السيبراني بعد ذلك باستخدام بيانات تسجيل الدخول هذه لتسجيل الدخول إلى الموقع الشرعي للمؤسسة المالية وبدء عملية إعادة تعيين كلمة المرور، مما يمكنه في النهاية من السيطرة الكاملة على الحسابات.
تتضمن حالات أخرى قيام جهات خبيثة تنتحل صفة مؤسسات مالية بالاتصال بأصحاب الحسابات، مدعيةً استخدام معلوماتهم لإجراء عمليات شراء احتيالية، بما في ذلك الأسلحة النارية، ثم إقناعهم بتزويد معلومات حساباتهم لشخص آخر ينتحل صفة جهة إنفاذ القانون.
تقنيات متطورة في الاحتيال السيبراني
أشارت وكالة FBI إلى أن احتيال الاستيلاء على الحسابات (ATO) يمكن أن يتضمن أيضًا استخدام تقنية “تسميم محركات البحث” (SEO poisoning) لخداع المستخدمين الذين يبحثون عن شركات على محركات البحث، عن طريق توجيههم للنقر على روابط وهمية تعيد توجيههم إلى موقع شبيه عبر إعلانات ضارة على محركات البحث.
بغض النظر عن الطريقة المستخدمة، تهدف هذه الهجمات إلى هدف واحد: السيطرة على الحسابات وتحويل الأموال بسرعة إلى حسابات أخرى تحت سيطرتهم، وتغيير كلمات المرور، مما يؤدي بشكل فعال إلى حجب المالك الأصلي للحساب. وترتبط الحسابات التي يتم تحويل الأموال إليها إلى محافظ عملات مشفرة لتحويلها إلى أصول رقمية وحجب مسار الأموال.
نصائح للحماية من عمليات الاحتيال
للحماية من هذا التهديد، يُنصح المستخدمون بالحذر عند مشاركة معلوماتهم الشخصية عبر الإنترنت أو على وسائل التواصل الاجتماعي، ومراقبة حساباتهم بانتظام بحثًا عن أي مخالفات مالية، واستخدام كلمات مرور فريدة ومعقدة، والتأكد من عنوان URL لمواقع البنوك قبل تسجيل الدخول، والبقاء يقظين ضد هجمات التصيد الاحتيالي أو المتصلين المشبوهين.
“من خلال مشاركة معلومات مثل اسم حيوان أليف، أو المدارس التي التحقت بها، أو تاريخ ميلادك، أو معلومات عن أفراد عائلتك، قد تزود المحتالين بالمعلومات التي يحتاجونها لتخمين كلمة مرورك أو الإجابة على أسئلتك الأمنية”، بحسب ما أوضحت وكالة FBI.
قال جيم روث، كبير مسؤولي الثقة في Saviynt، في بيان: “الغالبية العظمى من حسابات الاستيلاء على الحسابات (ATO) المشار إليها في إعلان FBI تحدث عبر بيانات اعتماد مخترقة يستخدمها جهات خبيثة على دراية تامة بالعمليات الداخلية وسير العمل لتحريك الأموال داخل المؤسسات المالية.”
وأضاف: “تعد الضوابط الأكثر فعالية لمنع هذه الهجمات يدوية (مكالمات هاتفية للتحقق) ورسائل SMS للموافقة. السبب الجذري لا يزال هو الاستخدام المقبول لبيانات الاعتماد للحسابات السحابية على الرغم من توفر خيارات بدون كلمة مرور.”
يأتي هذا التطور في الوقت الذي سلطت فيه شركات مثل Darktrace وFlashpoint وForcepoint وFortinet وZimperium الضوء على تهديدات الأمن السيبراني الرئيسية قبيل موسم الأعياد، بما في ذلك عمليات احتيال الجمعة السوداء، واحتيال رموز QR، وسرقة أرصدة بطاقات الهدايا، وحملات التصيد الاحتيالي عالية الحجم التي تقلد علامات تجارية شهيرة مثل Amazon وTemu.
تستفيد العديد من هذه الأنشطة من أدوات الذكاء الاصطناعي (AI) لإنشاء رسائل بريد إلكتروني تصيدية مقنعة للغاية، ومواقع ويب وهمية، وإعلانات على وسائل التواصل الاجتماعي، مما يسمح حتى للمهاجمين ذوي المهارات المنخفضة بتنفيذ هجمات تبدو موثوقة وتزيد من معدل نجاح حملاتهم.
قالت Fortinet FortiGuard Labs إنها اكتشفت ما لا يقل عن 750 نطاقًا خبيثًا مرتبطًا بالعطلات تم تسجيله خلال الأشهر الثلاثة الماضية، والعديد منها يستخدم مصطلحات رئيسية مثل “Christmas” و “Black Friday” و “Flash Sale”. وأضافت الشركة: “خلال الأشهر الثلاثة الماضية، تم جمع أكثر من 1.57 مليون حساب تسجيل دخول مرتبطة بمواقع تجارة إلكترونية رئيسية، متاحة عبر سجلات المسروقات، عبر الأسواق السرية.”
تم اكتشاف المهاجمين وهم يستغلون بنشاط الثغرات الأمنية عبر منصات مثل Adobe/Magento وOracle E-Business Suite و WooCommerce و Bagisto وغيرها من منصات التجارة الإلكترونية الشائعة. وتشمل بعض الثغرات المستغلة CVE-2025-54236 و CVE-2025-61882 و CVE-2025-47569.
وفقًا لـ Zimperium zLabs، كان هناك زيادة بمقدار 4 أضعاف في مواقع التصيد الاحتيالي عبر الهاتف المحمول (المعروفة باسم mishing)، حيث تقوم الجهات الخبيثة بالاستفادة من أسماء العلامات التجارية الموثوقة لإنشاء شعور بالإلحاح وخداع المستخدمين للنقر، أو تسجيل الدخول، أو تنزيل تحديثات ضارة.
علاوة على ذلك، لفتت Recorded Future الانتباه إلى عمليات الاحتيال الشرائية حيث تستخدم الجهات الخبيثة متاجر تجارة إلكترونية وهمية لسرقة بيانات الضحايا والموافقة على عمليات دفع احتيالية لسلع وخدمات غير موجودة. وصفت الشركة هذه العمليات الاحتيالية بأنها “تهديد احتيالي ناشئ رئيسي”.
“يسمح نظام بيئي متطور على الويب المظلم للجهات الخبيثة بإنشاء بنية تحتية جديدة للاحتيال الشرائي بسرعة وتضخيم تأثيرها”، بحسب ما ذكرت الشركة. “أنشطة ترويجية مماثلة للتسويق التقليدي – بما في ذلك عرض لبيع بيانات البطاقات المسروقة في متجر بطاقات الويب المظلم PP24 – سائدة في هذا العالم السفلي.”
“تمول الجهات الخبيثة الحملات الإعلانية ببطاقات الدفع المسروقة لنشر عمليات الاحتيال الشرائية، مما يؤدي بدوره إلى اختراق المزيد من بيانات بطاقات الدفع، مما يغذي دورة مستمرة من الاحتيال.”