كشفت تقارير أمنية حديثة عن نشاط متزايد لشبكة إجرامية منظمة تقوم باستهداف أنظمة الرواتب في الولايات المتحدة، مستغلة تقنيات خبيثة للتضليل المالي. وتُعرف هذه الشبكة باسم “قراصنة الرواتب” (Payroll Pirates)، وقد بدأت عملياتها منذ منتصف عام 2023، مستهدفة أكثر من 200 منصة مختلفة، وشملت ما لا يقل عن 500 ألف مستخدم.
وتعتمد الشبكة بشكل أساسي على حملات “الإعلانات الخبيثة” (Malvertising)، حيث يتم نشر إعلانات وهمية عبر محركات البحث، تقوم بتوجيه المستخدمين إلى صفحات تصيد احتيالي. وبمجرد قيام الموظفين بإدخال بيانات تسجيل الدخول الخاصة بهم على هذه الصفحات المزيفة، يتمكن المهاجمون من سرقة المعلومات، ومن ثم إعادة توجيه مدفوعات الرواتب إلى حساباتهم البنكية الخاصة.
شبكة “قراصنة الرواتب” تستغل الإعلانات المضللة لسرقة بيانات الرواتب
بدأت حملة “قراصنة الرواتب” باستخدام إعلانات مدفوعة على محركات البحث الشهيرة، مثل إعلانات جوجل. عندما يبحث الموظفون عن بوابة الموارد البشرية الخاصة بشركاتهم، تظهر لهم هذه الإعلانات المدعومة في مقدمة نتائج البحث.
وبمجرد النقر على الإعلان، يتم توجيه المستخدم إلى صفحة تصيد احتيالي مصممة لتبدو تمامًا كصفحة تسجيل الدخول الأصلية لنظام الرواتب. بعد إدخال اسم المستخدم وكلمة المرور، تُرسل بيانات الاعتماد المسروقة مباشرة إلى المهاجمين عبر قنوات اتصال مخفية.
تطور أساليب الهجوم
في البداية، رصد باحثون أمنيون هذه الظاهرة في مايو 2023، حيث لاحظوا وجود مواقع تصيد متعددة تقلد منصات الرواتب. وقد أظهر التحقيق أن مجموعات مختلفة تعمل معًا، تتشارك نفس أدوات الهجوم والأساليب، لكن لكل منها نطاقاتها الخاصة وطرق جمع المعلومات المسروقة.
توقفت الهجمات مؤقتًا في نوفمبر 2023، لكن الشبكة عادت في يونيو 2024 بأدوات محسنة. الصفحات التي تم تحديثها أصبحت قادرة على تجاوز المصادقة الثنائية (Two-Factor Authentication) بفعالية، وذلك من خلال استخدام روبوتات تليجرام تتفاعل مع الضحايا في الوقت الفعلي.
عندما يدخل الضحية كلمة المرور، يقوم الروبوت فورًا بطلب رمز التحقق أو إجابات الأسئلة الأمنية. كما استخدم النظام الجديد نصوصًا برمجية خلفية معاد تصميمها، مما جعل اكتشافها صعبًا للغاية.
آلية سرقة بيانات الاعتماد في الوقت الفعلي
ويُعد تجاوز الإجراءات الأمنية هو الجزء الأكثر خطورة في هذه العملية. عندما يصل الضحية إلى صفحة تسجيل الدخول المزيفة ويدخل بياناته، يتم إرسال المعلومات على الفور إلى المشغلين عبر روبوت تليجرام.
يعمل هذا الروبوت كمركز تحكم للشبكة بأكملها، ويتعامل مع طلبات المصادقة الثنائية عبر أنواع مختلفة من الأهداف، بما في ذلك الاتحادات الائتمانية، وأنظمة الرواتب، وبوابات استحقاقات الرعاية الصحية، ومنصات التداول.
يقوم الروبوت بإرسال إشعارات إلى المشغلين، الذين يتفاعلون بعد ذلك مع الضحايا بطلب رموز لمرة واحدة وإجابات أمنية في الوقت الفعلي. ويتم هذا التواصل المباشر خلال ثوانٍ معدودة، مما يجعل من شبه المستحيل على الضحايا إدراك أنهم يتعرضون للاحتيال حتى فوات الأوان.
تستخدم أدوات التصيد هذه عناصر ديناميكية تتغير بناءً على الإجراءات الأمنية التي تستخدمها كل منصة مستهدفة. وتتكيف الصفحات تلقائيًا عن طريق تحميل نماذج مختلفة حسب ما إذا كان الموقع الحقيقي يطلب أسئلة أمنية، أو التحقق عبر البريد الإلكتروني، أو المصادقة عبر الهاتف المحمول.
تتواصل النصوص الخلفية بصمت مع المشغلين عبر قنوات مشفرة، مما يحافظ على سرية جمع البيانات بعيدًا عن أدوات مراقبة الشبكات. وهذا يجعل البنية التحتية شبه مستحيلة التعطيل، لعدم وجود نقاط اتصال مكشوفة يمكن لفرق الأمان حظرها أو إسقاطها بسهولة.