كشفت حملة تجسس ويب واسعة النطاق عن تجاوزها نطاق سرقة بيانات بطاقات الدفع لتشمل سرقة هويات المستخدمين الكاملة، مما يشكل تهديداً متزايداً للتجارة الإلكترونية. تمكن القراصنة من استغلال ثغرات أمنية عبر أكثر من 50 سكربتاً خبيثاً لتضليل العملاء أثناء عمليات الدفع وإنشاء الحسابات.
تستهدف العملية، التي اكتشفها باحثون أمنيون، العملاء عبر الإنترنت من خلال اختراق تدفقات الدفع وإنشاء الحسابات. تشكل هذه التقنية تطوراً كبيراً في أساليب الجريمة الإلكترونية، حيث تتجاوز مجرد سرقة تفاصيل البطاقات الائتمانية إلى الاستيلاء على كامل هوية العميل.
حملة تجسس ويب ضخمة تستهدف بيانات المستخدمين
تعتمد هذه الحملة على استخدام حمولات برمجية معيارية مصممة لشركات معالجة الدفع المختلفة. يقوم المهاجمون بتكييف هذه البرمجيات الخبيثة لتناسب بوابات دفع شهيرة مثل Stripe، Mollie، PagSeguro، OnePay، و PayPal، وغيرها. يتيح هذا التخصيص للبرمجيات الخبيثة الاندماج بسلاسة مع واجهات الدفع الشرعية، مما يجعل اكتشافها صعباً للغاية.
ووفقاً لتقرير شركة Source Defense Research، فإن البنية التحتية لهذه الحملة تشمل شبكة معقدة من أسماء النطاقات التي تستخدم لتوزيع الهجوم والتحكم فيه. تم تصميم هذه النطاقات، مثل googlemanageranalytic.com و gtm-analyticsdn.com، لتبدو شرعية، وغالباً ما تحاكي خدمات التحليل والمكتبات الشائعة التي تقوم بها المواقع بتحميلها بشكل طبيعي.
أساليب هجوم متعددة
تبدأ الهجمة بإدخال نماذج دفع وهمية مباشرة في مواقع التجارة الإلكترونية، مما يخلق واجهات تصيد احتيالي مقنعة تجمع بيانات العملاء. هذه الأساليب المضللة تجعل المستخدمين يعتقدون أنهم يتفاعلون مع نظام دفع شرعي، بينما يتم إرسال بياناتهم إلى المهاجمين.
تمتد أساليب الهجوم إلى تقنيات التجسس الصامت، حيث تسجل البرمجيات الخبيثة المعلومات أثناء كتابتها من قبل المستخدم دون علمه. علاوة على ذلك، تستخدم البرمجيات الخبيثة تدابير لمنع الكشف، مثل إدخالات النماذج المخفية وتوليد أرقام بطاقات غير صحيحة، مما يعقد جهود الاستجابة للحوادث وتحليلها.
ما يميز هذه الحملة هو نطاقها الواسع الذي يتجاوز تفاصيل بطاقات الدفع. تقوم البرمجيات الخبيثة بجمع بيانات اعتماد المستخدمين (كلمات المرور)، والمعلومات التعريف الشخصية، وعناوين البريد الإلكتروني بشكل نشط. يتيح هذا الجمع الشامل للبيانات للمهاجمين شن هجمات استيلاء على الحسابات وإنشاء وصول دائم من خلال حسابات إدارية مزيفة.
تظهر الحملة كيف تطورت عمليات تجسس الويب لتصبح آلية متطورة للاستمرارية طويلة الأمد. من خلال سرقة بيانات الاعتماد وتأسيس الوصول الإداري، يمكن للمهاجمين الحفاظ على سيطرتهم على المواقع المخترقة لفترات طويلة، واستمرار جمع البيانات من تدفقات معاملات متعددة. يتطلب هذا التهديد من المؤسسات التي تدير منصات التجارة الإلكترونية تعزيز أمن جانب العميل، وتطبيق سياسات أمن المحتوى، ونشر أدوات مراقبة نماذج الدفع في الوقت الفعلي للكشف عن هذه الحقن الخبيثة وحظرها قبل وصولها إلى العملاء.