كشفت دراسة حديثة عن وجود 28 عنوان IP فريد و85 نطاقًا تستضيف أسواقًا غير قانونية لبيع بيانات بطاقات الائتمان المسروقة، مما يسلط الضوء على البنية التحتية التقنية لعمليات الاحتيال المالي.
تعمل هذه المنصات كواجهات تجارية إلكترونية معقدة للاحتيال المالي، مما يسمح للمجرمين بتبادل معلومات الدفع المسروقة بأسعار تتراوح بين 5 دولارات و150 دولارًا لكل بطاقة، اعتمادًا على حدود الائتمان وتفاصيل الهوية الإضافية.
تحليل البنية التحتية لأسواق الاحتيال الرقمي
تم إجراء البحث بين يوليو وديسمبر 2025، بالاعتماد على تقنيات المسح على مستوى الإنترنت لتحديد الخوادم التي تستضيف البنية التحتية لأسواق البطاقات قبل أن تتمكن من التخفي خلف تدابير الحماية.
من خلال إجراء عمليات بحث عبر عناوين HTTP وHTTPS على المنافذ 80 و443، اكتشف الباحثون خوادم تبث كلمات رئيسية مرتبطة بأنشطة الاحتيال مثل “CVV” و”Dumps” و”Carding” و”Shop”.
سمح هذا النهج في المسح للباحثين بالتقاط أويّات الخوادم خلال مراحل التكوين الأولية، قبل أن تقوم شبكات توصيل المحتوى (CDN) مثل Cloudflare بإخفاء مواقعها الحقيقية.
لاحظ محللو Team Cymru أن تحليل البنية التحتية كشف عن أنماط مهمة في كيفية إنشاء هذه العمليات الإجرامية لوجودها التقني.
استضافت عناوين IP المكتشفة صفحات تسجيل الدخول والصفحات الرئيسية للمنتديات الخاصة بمواقع الاحتيال، مما يوفر أدلة حاسمة يمكن أن تدعم إجراءات إنفاذ القانون، بما في ذلك إصدار أوامر الاستدعاء وإجراءات الإغلاق.
كانت النطاقات العليا الأكثر شيوعًا التي تستخدمها هذه العمليات هي .su و.cc و.ru، والتي توفر مزايا قضائية وسياسات تسجيل فضفاضة يستغلها المجرمون لتحقيق أمن عملياتهم.
آليات سرقة بيانات بطاقات الائتمان
تحدث سرقة بيانات بطاقات الائتمان في نقاط معاملات متعددة عبر وسائل مختلفة. تتدخل هجمات جمع البيانات على الويب (web skimming) عن طريق حقن تعليمات برمجية خبيثة (JavaScript) في صفحات الدفع، بينما تستهدف خروقات قواعد البيانات الخوادم المركزية للمؤسسات التجارية والمالية.
تشمل تقنيات السرقة المادية أجهزة جمع البيانات في أجهزة الصراف الآلي ونقاط البيع التي تلتقط بيانات الشريط المغناطيسي وأرقام التعريف الشخصية.
بمجرد سرقتها، تدخل هذه البيانات في سلسلة توريد معقدة حيث يتعامل مجرمون متخصصون مع مراحل مختلفة بدءًا من السرقة وصولًا إلى البيع والتحويل إلى نقد.
فحصت الدراسة أيضًا شهادات X.509 وحللت أسماء الموضوع الشائعة لتجميع البنية التحتية ذات الصلة بناءً على سمات الشهادات المعاد استخدامها.
تتيح هذه المنهجية تتبع بيئات الاستضافة “المحصنة” (bulletproof hosting) التي تستضيف الأسواق غير المشروعة، حتى عندما يحاول المشغلون استخدام تقنيات استنساخ مواقع الويب لتقليد أسواق الاحتيال الشرعية لأغراض التصيد الاحتيالي.
تحليل البنية التحتية للاستضافة
أظهر تحليل توزيع أرقام الأنظمة المستقلة (ASNs) من عناوين IP الـ 28 أن العديد من مزودي الاستضافة يعملون في ولايات قضائية خارجية ذات تعاون محدود مع جهات إنفاذ القانون.
برزت Privex كمزود الاستضافة الأكثر شيوعًا، حيث تعلن عن بنية تحتية تراعي الخصوصية مع خيارات خوادم افتراضية مخصصة (VPS) يشتريها المجرمون دون تقديم هوياتهم.
عادةً ما تدعم خدمات الاستضافة هذه أنشطة ضارة متعددة تتجاوز عمليات الاحتيال، بما في ذلك أدوات الأمن الهجومي وحملات القرصنة.