الإمارات العربية المتحدة – أعلنت شركة مايكروسوفت، بالتعاون مع جهات إنفاذ القانون الدولية، عن تفكيك شبكة هجمات احتيال عبر البريد الإلكتروني التجاري (BEC) كانت تعتمد بشكل كبير على محرك الاحتيال RedVDS. تأتي هذه العملية كضربة قوية ضد الجرائم السيبرانية التي تستهدف الشركات حول العالم.
كانت منصة RedVDS تعمل كخدمة اشتراك منخفضة التكلفة لمجرمي الإنترنت، حيث توفر لهم آلات افتراضية يمكن التخلص منها، والتي كانت تبدو كنظم ويندوز عادية عبر الإنترنت. استغل المهاجمون هذه الأجهزة المستأجرة لإرسال كميات هائلة من رسائل التصيد الاحتيالي، وإنشاء بوابات وهمية، وتنفيذ مخططات تحويل مدفوعات ضد شركات في قطاعات حيوية مثل التمويل، والعقارات، والرعاية الصحية، والتصنيع.
كيف تعمل سلسلة هجمات BEC التي تعتمد على RedVDS
تميزت سلسلة الهجمات بالبساطة والفعالية العالية. بدأ المجرمون باستخدام الأجهزة الافتراضية الخاصة بـ RedVDS لإرسال رسائل تصيد إلكتروني موجهة، بهدف سرقة بيانات اعتماد الدخول لحسابات Microsoft 365 ومنصات البريد الإلكتروني الأخرى. بعد حصولهم على الوصول إلى صناديق البريد، كانوا يراقبون بصمت المحادثات الفعلية بين الموردين والعملاء والفرق الداخلية.
كان الجناة ينتظرون اللحظة المناسبة، مثل وقت إرسال الفواتير أو تعليمات التحويلات البنكية، ليقوموا بحقن ردود وهمية تتضمن تفاصيل بنكية جديدة، مما يؤدي إلى تحويل مبالغ كبيرة إلى حسابات يسيطرون عليها. لوحظ أن RedVDS قد ساهم في تضخيم هذا النوع من الاحتيال من خلال الجمع بين بنية تحتية عالية الإنتاجية وأدوات ذكاء اصطناعي قادرة على إنشاء نصوص بريد إلكتروني مقنعة، ورسائل صوتية وهمية، وحتى مقاطع فيديو مزيفة.
في الأيام التي شهدت ذروة الهجمات، قامت أكثر من 2600 جهاز افتراضي تابع لـ RedVDS بإرسال ما يقرب من مليون رسالة تصيد إلكتروني مستهدفة عملاء مايكروسوفت وحدهم، مما ساعد المجرمين على اختراق أو إساءة استخدام الوصول إلى أكثر من 191 ألف منظمة على مستوى العالم. وقد أسفرت العملية المنسقة عن الاستيلاء على نطاقات RedVDS، وتعطيل قنوات الدفع الخاصة بها، وإزالة ركن أساسي من أركان منظومة الاحتيال هذه.
تفاصيل تقنية حول عمل المحرك
على المستوى التقني، اتبعت سلسلة هجمات BEC نمطًا متكررًا. يقوم المهاجمون بإنشاء أو استئجار جهاز RedVDS، ونشر أدوات أساسية، ثم التسلل إلى صناديق البريد النشطة باستخدام بيانات الاعتماد المسروقة.
كان نمط شائع يتضمن فحوصات تسجيل دخول آلية ومسحًا لصناديق البريد: حيث يتم فحص البريد بحثًا عن كلمات مفتاحية مثل “فاتورة” أو “دفع” أو “تحويل”، ثم يتم تحديد المحادثات ذات الصلة للمراقبة. بعد تحديد مسار دفع، يقوم المهاجم بصياغة رد من الحساب المخترق، وغالبًا ما يعيد استخدام التوقيعات والتذييلات الحقيقية.
لاحظ باحثو مايكروسوفت أن هذا النهج المنظم، المقترن بالعقد القابلة للتخلص منها في RedVDS، جعل من السهل توسيع نطاق الاحتيال وجعل تتبعه صعبًا. تظهر العملية الأخيرة أن استهداف البنية التحتية المشتركة للجريمة، وليس فقط الحسابات الفردية، هو مفتاح تقليص سطح هجمات BEC عالميًا. ومن جهة أخرى، تم تتبع استخدام RedVDS في عمليات تحويل مدفوعات قطاع العقارات، حيث تم استخدام صناديق البريد التي تم اختراقها للوكلاء وشركات الملكية لإرسال تعليمات إغلاق وهمية.
في العديد من الحالات، قام الضحايا بتحويل مدخرات حياتهم إلى حسابات صورية في غضون دقائق من تلقي الرسالة المزيفة. تؤكد هذه الجهود المشتركة على أهمية التعاون الدولي في مكافحة التهديدات السيبرانية المتطورة باستمرار.