كشف تقرير حديث عن شبكة عالمية واسعة النطاق لجرائم الإنترنت تتخذ من فيتنام مقراً لها، وتقف وراء حملات احتيالية ضخمة لإنشاء حسابات مزيفة تستهدف مزودي الخدمات والمنصات عبر الإنترنت حول العالم. تشير التحقيقات إلى أن هذه الأنشطة تستخدم بنية تحتية متطورة لتصنيع هويات رقمية مزيفة على نطاق واسع.
تتجاوز مشكلة الحسابات الاحتيالية عبر الإنترنت كونها مجرد إزعاج، فهي تمثل بوابة رئيسية للمجرمين لارتكاب جرائم مالية متنوعة. تتراوح هذه الجرائم بين إرسال الرسائل غير المرغوب فيها (spam) وعمليات التصيد الاحتيالي (phishing)، وصولاً إلى عمليات الاحتيال التي تستهدف الأفراد، والتي تعرف بـ “خنزرة المال” (pig butchering).
شبكة جرائم الإنترنت الفيتنامية: كيف تعمل؟
تستدرج هذه العمليات الضحايا في عمليات احتيال تتعلق بالعملات المشفرة، وعمليات الاحتيال الرومانسية، وعمليات الابتزاز الجنسي، والتي تُدار من تجمعات إجرامية منظمة في جنوب شرق آسيا. تقع هذه التجمعات بشكل خاص بالقرب من حدود الصين وميانمار وتايلاند وكمبوديا.
تمكن باحثون في شركة Okta، بالتعاون مع باحثين من جامعة قبرص، من تحديد تدفق كبير وعبر عدة نطاقات بريد إلكتروني تستخدم لمرة واحدة، والتي ربطت النشاط الاحتيالي بسوق احتيال أوسع مقره في فيتنام. كشف تحقيقهم عن نظام بيئي منظم لما يُعرف بـ “الجرائم السيبرانية كخدمة” (CaaS)، والذي يبيع أدوات احتيال، وتوكنات جلسات، وخوادم وكيلة سكنية، ومتصفحات مضادة للكشف لأي شخص مستعد للدفع.
آثار اقتصادية وتقنيات مستخدمة
تتسبب الأضرار المالية لهذه العمليات في خسائر فادحة. في إحدى الحالات، يقوم المحتالون بأتمتة إنشاء حسابات وهمية لتشغيل رسائل نصية قصيرة إلى أرقام هواتف ذات معدل ممتاز، وهي تقنية تعرف باسم “تضخيم الرسائل القصيرة” (SMS pumping) أو الاحتيال في مشاركة الإيرادات الدولية (IRSF).
تجد مزودو الخدمات الذين يعتمدون على الرسائل القصيرة للتحقق من التسجيلات الجديدة أو إرسال رموز الأمان للمصادقة الثنائية أنفسهم يتحملون تكلفة آلاف الرسائل المولدة بشكل مصطنع. وقد أشارت تقارير سابقة إلى أن هذا السوق السري يشمل الآن تجاراً متخصصين في حزم الاحتيال، والبيانات المسروقة، والبرمجيات الخبيثة، والأدوات المدعومة بالذكاء الاصطناعي، وخدمات غسيل الأموال التي تستهدف الضحايا عالمياً.
يمتد الطلب على الحسابات المزيفة ليشمل منصات رئيسية مثل LinkedIn و Instagram و Facebook و TikTok، حيث يستخدمها المجرمون لتنفيذ عمليات احتيال، والتلاعب بالتقييمات، واستغلال الفترات التجريبية المجانية. ويؤدي هذا النشاط تدريجياً إلى تآكل ثقة المستخدمين وتدهور تجربة العملاء الشرعيين عبر كل منصة تتأثر به.
البنية التحتية لـ CaaS التي تغذي الاحتيال
في قلب هذا النظام البيئي، تكمن شركة تصميم ويب مقرها في فيتنام تعمل تحت اسم CMSNT[.]co، والتي تبيع قوالب مواقع ويب مصممة خصيصاً لـ “مشاريع جني الأموال عبر الإنترنت”. تم اعتماد هذه القوالب، وفي بعض الحالات تسريبها واستخدامها دون ترخيص، من قبل عشرات من واجهات الاحتيال التي تبيع منتجات الحسابات، ومزارع الهواتف، وخدمات تضخيم تفاعل وسائل التواصل الاجتماعي، والمتصفحات المضادة للكشف.
أحد المواقع المبنية على هذه القوالب هو Via17[.]com، والذي يبيع علناً حسابات وسائل التواصل الاجتماعي المخترقة، والتي يشار إليها باسم “vias”، والتي تم الحصول عليها على الأرجح من خلال هجمات القوة الغاشمة أو سجلات تم جمعها بواسطة برامج تجسس. عادة ما تحتوي هذه السجلات على بيانات الاعتماد، وتفاصيل بطاقات الدفع، وبيانات محافظ العملات المشفرة، ومعلومات شخصية تم سحبها من الأجهزة المصابة.
كما يقدم Via17[.]com رموز الجلسات، التي تسمح بالوصول المستمر إلى الحسابات بدون كلمة مرور، بالإضافة إلى عناوين البريد الإلكتروني للاسترداد ورموز المصادقة الثنائية. وتعد خدمات البريد الإلكتروني التي تستخدم لمرة واحدة هي الغراء الذي يربط هذه البنية التحتية معاً. تسمح منصات مثل mailclone[.]site و temp-mail[.]io للمحتالين بإنشاء عناوين بريد إلكتروني صالحة لمدة عشر دقائق فقط، وهي مدة كافية لتلقي رمز التحقق وإكمال التسجيل. يوصي Via17[.]com وحده بإحدى عشرة خدمة من هذا القبيل للمشترين، مما يوضح مدى الأتمتة والمنهجية التي اتخذها هذا المسار الاحتيالي.
استراتيجيات الدفاع ضد الحسابات الاحتيالية
يتطلب الدفاع الفعال ضد عمليات التسجيل الاحتيالية نهجاً متعدد الطبقات. يجب على المؤسسات نشر اكتشاف روبوتات مخصص يتحدى التسجيلات المشبوهة باستخدام اختبار CAPTCHA وتطبيق حدود معدل أكثر صرامة على محاولات التسجيل من عناوين IP فردية. يؤدي حظر نطاقات البريد الإلكتروني المعروفة التي تستخدم لمرة واحدة وفرض التحقق من البريد الإلكتروني للحسابات الجديدة إلى تقليل عدد الحسابات المزيفة التي تتسلل.
بالنسبة للخدمات ذات القيمة العالية، يضيف التحقق من الهوية باستخدام مزودي التحقق الخارجيين طبقة مهمة من الحماية. تساعد أدوات التحليل السلوكي التي تشير إلى أنماط التسجيل الآلي أو ذات الحجم الكبير في اكتشاف الهجمات أثناء حدوثها، بينما يقيد تقييد الوصول من وسائل إخفاء الهوية والوكلاء عالية المخاطر وصول المهاجمين قبل أن يصلوا حتى إلى صفحة التسجيل.