رفعت جوجل دعوى قضائية مدنية في المحكمة الجزئية الأمريكية للمنطقة الجنوبية من نيويورك ضد قراصنة صينيين يقفون وراء منصة ضخمة لخدمات التصيد الاحتيالي (PhaaS) تُعرف باسم “لايت هاوس”، والتي استهدفت أكثر من مليون مستخدم في 120 دولة.
تُستخدم هذه المنصة لشن هجمات تصيد احتيالي واسعة النطاق عبر الرسائل النصية، مستغلة علامات تجارية موثوقة مثل E-ZPass و USPS لسرقة المعلومات المالية، حيث تحث المستخدمين على النقر على روابط تتعلق برسوم طرق وهمية أو طرود. وعلى الرغم من بساطة الاحتيال نفسه، إلا أن الحجم الصناعي للعملية سمح لها بتحقيق أكثر من مليار دولار بطرق غير قانونية خلال السنوات الثلاث الماضية.
منصة “لايت هاوس” تتربع على عرش التصيد الاحتيالي
“إنهم يستغلون سمعة جوجل وعلامات تجارية أخرى عن طريق عرض علاماتنا التجارية وخدماتنا بشكل غير قانوني على مواقع احتيالية”، بحسب ما ذكرت حليمة ديلين برادو، المستشارة العامة في جوجل. وأضافت: “وجدنا ما لا يقل عن 107 قوالب مواقع تحتوي على علامة جوجل التجارية على شاشات تسجيل الدخول، مصممة خصيصاً لخداع الناس وجعلهم يعتقدون أن المواقع شرعية”.
تتخذ الشركة إجراءات قانونية لتفكيك البنية التحتية الأساسية بموجب قانون المؤسسات الفاسدة المتأثرة بالابتزاز (RICO)، وقانون لانهاام، وقانون الاحتيال المسيء للكمبيوتر.
تُعد منصة “لايت هاوس”، بالتعاون مع منصات PhaaS أخرى مثل “داركولا” و”لوسيد”، جزءًا من نظام إجرامي إلكتروني مترابط يعمل من الصين، ويُعرف بإرسال آلاف رسائل التصيد السمي (smishing) عبر iMessage من Apple و Google Messages باستخدام تقنية RCS للمستخدمين في الولايات المتحدة وخارجها، بهدف سرقة البيانات الحساسة. وقد استخدمت هذه المنصات من قبل عصابة تصيد تم تتبعها باسم “سميشينغ ترايد”.
في تقرير نُشر في سبتمبر، كشفت Netcraft أن “لايت هاوس” و”لوسيد” كانتا مرتبطتين بأكثر من 17,500 نطاق تصيد احتيالي استهدفت 316 علامة تجارية من 74 دولة. وتُباع قوالب التصيد المرتبطة بـ “لايت هاوس” مقابل ما يتراوح بين 88 دولاراً لأسبوع واحد إلى 1,588 دولاراً لاشتراك سنوي.
صرحت شركة الأمن السيبراني السويسرية PRODAFT في تقرير نُشر في أبريل: “بينما تعمل لايت هاوس بشكل مستقل عن مجموعة شين شين، فإن توافقها مع لوسيد من حيث البنية التحتية وأنماط الاستهداف يسلط الضوء على الاتجاه الأوسع للتعاون والابتكار داخل نظام PhaaS البيئي.”
تأثير عصابات التصيد الصينية
يُقدر أن عصابات التصيد الصينية ربما تكون قد اخترقت ما بين 12.7 مليون و 115 مليون بطاقة دفع في الولايات المتحدة وحدها بين يوليو 2023 وأكتوبر 2024. وفي السنوات الأخيرة، طورت مجموعات الجريمة السيبرانية من الصين أيضًا أدوات جديدة مثل “جوست تاب” لإضافة تفاصيل البطاقات المسروقة إلى المحافظ الرقمية على هواتف آيفون وأندرويد.
في الشهر الماضي، ذكرت وحدة Palo Alto Networks 42 أن الجهات الفاعلة في مجال التهديدات وراء “سميشينغ ترايد” استخدمت أكثر من 194,000 نطاق خبيث منذ 1 يناير 2024، مقلدة مجموعة واسعة من الخدمات، بما في ذلك البنوك، وتبادلات العملات المشفرة، وخدمات البريد والتسليم، وقوات الشرطة، والمؤسسات المملوكة للدولة، ورسوم الطرق الإلكترونية، وغيرها.
قال كيسي بيست، مدير استخبارات التهديدات في Silent Push، في تصريح لـ The Hacker News: “نعتقد أن جميع خدمات PhaaS الثلاث (لايت هاوس، داركولا، ولوسيد) تُستخدم من قبل سميشينغ ترايد لمجموعة متنوعة من الأسباب التقنية وغير التقنية”، مضيفاً أن الشركة لاحظت تحول المستخدمين لمنصة لايت هاوس بين داركولا ولوسيد على مستوى البنية التحتية.
“من الجدير بالذكر أن هناك نظامًا بيئيًا كاملاً قيد العمل هنا، حيث يناقش جهات التصيد الصينية أنشطتهم الاحتيالية علنًا في قنوات تيليجرام ويتبادلون المعرفة عبر مختلف جهودهم. المصطلح الصيني المشترك المستخدم بين النشطين في القنوات يعزز الروابط بين مقدمي خدمات PhaaS هؤلاء وسميشينغ ترايد.”
تحديث: تعطيل منصة “لايت هاوس”
أعلنت جوجل أن خدمة التصيد الاحتيالي “لايت هاوس” قد تم تعطيلها بعد رفع الشركة دعوى قضائية ضد المجموعة الإجرامية التي تديرها. تُظهر لقطة شاشة شاركتها جوجل مع The Hacker News رسالة باللغة الصينية على تيليجرام، يُزعم أنها نُشرت من قبل الجهات الفاعلة في التهديد، تفيد بأن “خادمهم السحابي قد تم حظره بسبب شكاوى خبيثة”. وقد تم حذف أو إسقاط العديد من قنوات تيليجرام التي تم تحديدها سابقًا على أنها مدارة بواسطة “لايت هاوس”.
“إن هذا الإغلاق لعمليات لايت هاوس هو انتصار للجميع”، صرحت ديلين برادو. “سنواصل محاسبة المحتالين الخبيثين وحماية المستهلكين.”
تُعد “لايت هاوس” واحدة من العديد من أدوات التصيد الاحتيالي التي ظهرت من النظام الإجرامي السيبراني الصيني. وقد استخدمت “سميشينغ ترايد” هذه الخدمات لتنظيم هندسة اجتماعية تنتحل مجموعة واسعة من الكيانات المشروعة، على أمل إعادة توجيه المستخدمين إلى روابط خبيثة مصممة لالتقاط المعلومات الحساسة.
على الرغم من أنه من السابق لأوانه القول ما إذا كان هذا الجهد الأخير سيجبر المهاجمين على تعديل أساليبهم، إلا أن متحدثًا باسم جوجل أفاد لـ The Hacker News: “نتوقع دائمًا أن يغير الجهات الفاعلة السيئة تكتيكاتها، ولهذا السبب نستمر في البقاء يقظين، وتعديل تكتيكاتنا، واتخاذ الإجراءات كما فعلنا.”
أكد بيست من Silent Push أيضًا أن جميع قنوات تيليجرام المرتبطة بـ PhaaS قد تم حذفها أو إسقاطها بسبب انتهاكات شروط خدمة تيليجرام. بعض القنوات المذكورة:
- t[.]me/laowangLiveGroup
- t[.]me/LighthouseShopBot
- t[.]me/WdyLiveBot
- t[.]me/laowang_notice
- t[.]me/laowang_merchants
- t[.]me/s8888s
- t[.]me/wangduoyu0
وأضاف بيستـ: “نحن نتتبع العديد من المواقع النشطة لا تزال تستخدم كود مجموعة لايت هاوس، بالإضافة إلى مجموعات التصيد التي يستخدمها جهات تهديد سميشينغ ترايد الأخرى، ولكن قد تكون هناك تغييرات في الخلفية مع لايت هاوس أو اضطرابات أخرى في هذا النظام الإجرامي التي بدأت تظهر للتو. في كلتا الحالتين، هذه علامة إيجابية لدعوى جوجل القضائية، ونتطلع إلى زيادة الضغط على جهات التصيد الاحتيالي التي تتمركز في الصين في الغالب.”