كشفت جهات أمنية عن عملية احتيال إلكتروني واسعة النطاق تقودها مجموعة Diesel Vortex، وهي منظمة إجرامية مرتبطة بروسيا، استهدفت قطاع اللوجستيات العالمي، خاصة في الولايات المتحدة وأوروبا. نجحت الحملة في سرقة أكثر من 1600 بيانات اعتماد تسجيل دخول من شركات الشحن والنقل.
تعود فترة نشاط هذه الحملة إلى الفترة ما بين سبتمبر 2025 وفبراير 2026، حيث تمكنت المجموعة من الحصول على بيانات اعتماد تسجيل الدخول من مستخدمي منصات لوجستية كبرى مثل DAT Truckstop، Penske Logistics، Electronic Funds Source (EFS)، و Timocom. وتكمن خطورة الأمر في أن هذه المجموعة عملت كنظام إجرامي منظم، حيث يُعتقد أنها كانت تبيع الوصول إلى عمليات التصيد الاحتيالي هذه لجهات أخرى تحت اسم “MC Profit Always”.
حملة تصيد إلكتروني تستهدف قطاع النقل والخدمات اللوجستية
اعتمدت مجموعة Diesel Vortex على أساليب متطورة في حملتها، حيث استخدمت رسائل البريد الإلكتروني المضللة (spearphishing) ومكالمات التصيد الصوتي (voice phishing) للوصول إلى العاملين في قطاع النقل. وكان المهاجمون يستغلون مجموعات Telegram المتخصصة في الشحن كمنصة أساسية لاستهداف ضحاياهم.
من خلال انتحال صفة المنصات التي يستخدمها هؤلاء المهنيون بشكل يومي، تمكنت المجموعة من اعتراض بيانات تسجيل الدخول ورموز المصادقة متعددة العوامل (MFA) في الوقت الفعلي. وبذلك، استطاعت المجموعة إعادة توجيه الشحنات، سرقة الأموال، وتنفيذ عمليات احتيال بالشيكات.
وقد تمكن محللو منظمة “Have I Been Squatted” من اكتشاف هذه العملية بعد ملاحظة نمط مشبوه من النطاقات المزيفة (typosquatted domains) المرتبطة بأحد عملائهم. وأدى التحقيق اللاحق إلى اكتشاف دليل Git مكشوف على أحد خوادم التصيد الاحتيالي، مما كشف عن شفرة المصدر الكاملة للمجموعة، وقاعدة بيانات الضحايا، والرسائل الداخلية، بالإضافة إلى خططهم المستقبلية.
حجم العملية ونطاق الضرر
كشفت تفاصيل عملية استخراج بيانات (SQL dump) حجم العملية بشكل كامل، حيث تم نشر 52 نطاق تصيد احتيالي، واستهدفت 75,840 بريدًا إلكترونيًا، وتم تأكيد 35 محاولة احتيال بالشيكات عبر منصة EFS. وبعيداً عن مجرد سرقة كلمات المرور، شملت البيانات المخترقة فواتير الشحن والتفاصيل المالية، مما أتاح للمهاجمين تنفيذ عمليات احتيال على الفواتير، بالإضافة إلى عملية “السمسرة المزدوجة” (double-brokering).
وتتمثل “السمسرة المزدوجة” في إعادة بيع البضائع سراً لشركات نقل أخرى دون علم أو موافقة شركة النقل الأصلية، مما يؤدي إلى عدم حصولها على مستحقاتها. وقد كانت المنصة، التي يطلق عليها داخلياً اسم “GlobalProfit”، في طور التحول إلى منتج “التصيد الاحتيالي كخدمة” (Phishing-as-a-Service – PhaaS) مخصص للمشترين المجرمين الناطقين بالروسية، مع وجود معالجات للعملات المشفرة جاهزة بالفعل.
من جهة أخرى، كانت التقنية الأكثر لفتاً للنظر في هذه العملية هي الطريقة التي حافظت بها المجموعة على صفحات التصيد الاحتيالي مخفية عن كل من الضحايا والأدوات الأمنية. plum
تقنية النطاق المزدوج والتخفي
اعتمدت المنصة على نطاقين يعملان معاً. كان الضحايا يتلقون رابطاً موجهاً إلى “نطاق إعلاني” يبدو طبيعياً. وعند النقر عليه، كانت الصفحة تقوم بتضمين “نطاق نظام” ثانٍ مخفي بشكل سري داخل إطار متصفح غير مرئي.
وظل شريط عنوان الضحية يعرض النطاق الموثوق به، بينما يتم تحميل محتوى التصيد الاحتيالي الفعلي بهدوء داخله. وقد تجاوزت هذه التقنية معظم تحذيرات أمان المتصفحات، حيث تقيّم المتصفحات الصفحة العلوية فقط، وليس الإطارات المضمنة بداخلها.
واجهت الفرق الأمنية تحدياً كبيراً في الدفاع ضد هذا النوع من الهجمات، حيث تتطلب الحاجة إلى تبني مفاتيح التشفير المادية FIDO2 أو “كلمات المرور المستندة إلى الجهاز” (passkeys)، نظراً لأن اعتراض البيانات في الوقت الفعلي عبر Telegram يتفوق على كلمات المرور لمرة واحدة (OTPs) ورموز الرسائل القصيرة.
إضافة إلى ذلك، يُشكل ترشيح DNS والمراقبة النشطة للنطاقات المزيفة التي تحاكي أسماء منصات الخدمات اللوجستية خطوات دفاعية بالغة الأهمية للحماية من هذه التهديدات السيبرانية المستمرة.