**احذروا.. حملة تصيد احتيالي متطورة تستهدف عملاء PNB MetLife وتسرق بياناتهم**
كشفت تقارير أمنية حديثة عن حملة تصيد احتيالي متطورة تستهدف عملاء شركة التأمين PNB MetLife، حيث تقوم صفحات دفع وهمية بسرقة المعلومات الشخصية للمستخدمين وتوجيههم نحو معاملات دفع احتيالية عبر نظام المدفوعات الموحدة (UPI).
تستغل هذه الحملة السمعة الموثوقة لـ PNB MetLife من خلال إنشاء بوابات دفع إلكترونية مقنعة، مصممة خصيصاً للهواتف المحمولة، تحاكي خدمات دفع أقساط التأمين الرسمية.
تسمح هذه الصفحات المزيفة بإدخال أرقام البوالص وتفاصيل العملاء دون أي تحقق، ومن ثم تقوم بتحويل البيانات المسروقة فوراً إلى المهاجمين عبر قنوات آلية.
تفاصيل حملة PNB MetLife الاحتيالية
تنتشر هذه العمليات الاحتيالية بشكل أساسي عبر رسائل SMS، رغم أن البريد الإلكتروني ومنصات التواصل الاجتماعي قد تكون أيضاً قنوات للتوزيع. عندما يصل الضحايا إلى بوابات الدفع المزيفة، يواجهون واجهات مصممة باحترافية تطلب معلومات أساسية مثل الاسم، رقم البوليصة، ورقم الهاتف المحمول.
تتعمد هذه الصفحات تجنب التحقق من جانب الخادم، حيث تقبل أي قيم لإبقاء الضحايا منخرطين في عملية الدفع الاحتيالية، مع الحفاظ على وهم الشرعية.
وفقاً للباحث الأمني أنوراج غاواندي، الذي اكتشف عدة نسخ من مخطط التصيد هذا، فقد استخدم المهاجمون منصات استضافة مجانية، وخاصة EdgeOne Pages، لنشر المواقع الخبيثة بسرعة وإمكانية تدويرها.
تُظهر الحملة تطوراً واضحاً في تكتيكات الاحتيال المالي، حيث تتجاوز مجرد سرقة بيانات الاعتماد لتشمل عمليات متعددة المراحل تجمع بين استخلاص البيانات والتلاعب المباشر بالمدفوعات.
آلية عمل الاحتيال
تبدأ الهجمة بشكل يبدو بريئاً، ولكنها تتصاعد بسرعة مع تقدم الضحايا عبر خطوات الدفع التي تبدو قانونية. بعد التقاط التفاصيل الأولية، تنتقل صفحة التصيد إلى مرحلة جمع مبلغ الدفع قبل تقديم آليات دفع عبر نظام UPI.
هذا التقدم التدريجي يبني ثقة زائفة، بينما يتم جمع طبقات مختلفة من المعلومات من العملاء المطمئنين بشكل منهجي.
ما يجعل هذا التهديد خطيراً بشكل خاص هو استخدامه لتطبيقات الدفع الحقيقية لإكمال المعاملات الاحتيالية. فبدلاً من الاعتماد فقط على معالجات الدفع المزيفة، تستخدم هذه الحملة تطبيقات UPI الشرعية مثل PhonePe وPaytm وGoogle Pay، مما يقلل بشكل كبير من شك الضحايا ويزيد من احتمالية سرقة الأموال بنجاح.
استخلاص بيانات سري عبر بنية Telegram
خلف الواجهة المصقولة، تكمن آلية متطورة لاستخلاص البيانات تعمل بالكامل عبر واجهة برمجة التطبيقات (API) الخاصة ببوتات Telegram. عندما يقدم الضحايا معلوماتهم، تقوم صفحة التصيد بإرسال التفاصيل الملتقطة بصمت ومباشرة إلى قنوات Telegram التي يتحكم بها المهاجمون، بدلاً من أي خادم دفع شرعي.
يحدث استخلاص البيانات هذا في الوقت الفعلي وبشكل غير مرئي، حيث يتم تضمين رموز البوتات ومعرفات الدردشة الثابتة داخل كود JavaScript الخاص بالصفحة.
كشف البحث في البنية التحتية للتصيد عن العديد من روبوتات Telegram وحسابات المشغلين التي تنسق عملية الاحتيال. روبوتات مثل “pnbmetlifesbot” و”goldenxspy_bot” تجمع مدخلات الضحايا، بينما تراقب حسابات مثل “darkdevil_pnb” و”prabhatspy” وتتلقى المعلومات المسروقة.
تشمل البيانات المسروقة الأسماء وأرقام البوالص وأرقام الهواتف المحمولة، وكلها تنتقل فوراً بمجرد إكمال الضحايا لكل حقل من حقول النموذج.
بعد التقاط البيانات الأولية، تطلب الصفحة مبالغ الدفع دون إجراء أي تحقق للبوالص، وتقبل أي قيمة يتم إدخالها قبل إرسال هذه المعلومات إلى نفس قنوات Telegram.
ثم تقدم آلية التصيد إلحاحاً عبر مؤقتات العد التنازلي وعرض رموز QR، للضغط على الضحايا لإكمال مدفوعات UPI بسرعة. تقوم JavaScript بإنشاء عناوين URI لدفع UPI ديناميكياً، وعرضها كرموز QR قابلة للمسح توجه الأموال إلى حسابات يتحكم فيها المهاجمون.
الأكثر إثارة للقلق هو تقنية إساءة استخدام الحافظة (clipboard abuse) المستخدمة عند تحديد الضحايا لأزرار تطبيقات الدفع. عند النقر على أزرار PhonePe أو Paytm، يتم نسخ معرف UPI الاحتيالي بصمت إلى حافظة الجهاز قبل إعادة التوجيه إلى تطبيق الدفع الشرعي، مما يضمن أن تفاصيل دفع المهاجم جاهزة للصق حتى لو تجاهل الضحايا رمز QR.
رفع مستوى الاحتيال إلى سرقة البيانات المصرفية
تتجاوز النسخ المتقدمة من حملة التصيد هذه مجرد احتيال الدفع لتصل إلى حصاد شامل لبيانات اعتماد الخدمات المصرفية. تقدم هذه القوالب المتطورة خيارات متعددة بما في ذلك “تحديث المبلغ” و”استرداد المبلغ” و”إضافة نظام الخصم التلقائي”، مما يخلق وهم خدمة البوالص الشرعية.
عندما يختار الضحايا هذه الخيارات، فإنهم يواجهون في النهاية صفحات تطلب تفاصيل حساب بنكي كاملة ومعلومات بطاقة الخصم، بما في ذلك أرقام البطاقات وتواريخ انتهاء الصلاحية ورموز CVV. يتم استخلاص جميع بيانات الاعتماد المالية المقدمة عبر نفس بنية Telegram، مما يحول العملية من مجرد احتيال دفع إلى سرقة كاملة للهوية والبيانات المالية.