تستغل شبكات الاحتيال المنظمة في فرنسا أساليب جديدة لتحويل الأموال المسروقة، حيث تنشئ حسابات وهمية لشركات على منصات التكنولوجيا المالية المخصصة للمستقلين، مستخدمة إياها كحسابات “مولي” (mule accounts) لغسل الأموال بسرعة وقبل اكتشافها. هذا النهج المتطور للصيد يقوم به مجرمون محترفون لضمان نجاح عملياتهم الاحتيالية.
تستفيد هذه العمليات الإجرامية من الميزات التي تقدمها منصات التكنولوجيا المالية، مثل سهولة فتح الحسابات عن بعد، وعمليات التحقق من الهوية المبسطة، والبنية التحتية لمعالجة المدفوعات. تتيح هذه الخدمات، المصممة لتسهيل الأعمال المشروعة، للمجرمين إخفاء أنشطتهم بشكل فعال.
وفقًا لخبراء الأمن السيبراني، تُباع حسابات “المولي” التي تم التحقق منها على منصات التكنولوجيا المالية الأوروبية للمستقلين بأسعار تتراوح بين 200 و1000 دولار في الأسواق المظلمة. هذه الحسابات المصادقة عليها أكثر قيمة للمحتالين من حسابات البنوك التقليدية.
يشهد قطاع الخدمات المالية في أوروبا تزايداً في عمليات الاحتيال، حيث بلغت خسائر احتيال التحويلات الائتمانية في المنطقة الاقتصادية الأوروبية 2.5 مليار دولار في عام 2023، بزيادة قدرها 25% عن العام السابق. تُعد حسابات “المولي” الأداة الرئيسية خلف هذه الخسائر.
شبهات حول انتشار استخدام التكنولوجيا المالية في عمليات غسل الأموال
وفقًا لتقرير صادر عن محللي Group-IB، فإن الجهة الفاعلة وراء هذه العمليات تتبع باسم “Bastardaseller”، وهي جزء من شبكة احتيال أكبر تسمى ASGARD. تتخصص هذه الشبكة في إنشاء وبيع حسابات الشركات الأوروبية الموثقة. تعمل الجهة الفاعلة بشكل أساسي عبر قناة على تلغرام وتوزع الحسابات عبر منصات متعددة في الويب المظلم.
كشفت بيانات Group-IB أن نحو 20% من المستخدمين الذين يسجلون في فرنسا تم تأكيدهم كحسابات “مولي”. من المحتمل أن يكون النطاق الحقيقي للمشكلة أعلى، حيث أن الهجوم مصمم ليكون غير مرئي في كل مرحلة فردية، ولا يظهر إلا عند تحليل دورة حياة الحساب بالكامل كسلسلة مترابطة.
مراحل خطة الاحتيال
تنقسم العملية الاحتيالية إلى ثلاث مراحل رئيسية. في المرحلة الأولى، يقوم المحتالون بتنفيذ حملات تصيد احتيالي لجمع المعلومات الشخصية للمستخدمين. غالبًا ما يتم إنشاء مواقع التصيد هذه تحت قصص غطاء مختلفة، مثل خدمة استشارات الرهن العقاري الوهمية، حيث يقدم الضحايا تفاصيلهم الشخصية مقابل نصائح مالية.
في المرحلة الثانية، يستغل المحتالون المعلومات الشخصية المسروقة لتسجيل الحساب. لاحظ باحثو Group-IB أن المشغلين يستخدمون بنية تحتية لمزارع شرائح SIM لتوليد عناوين IP وأرقام هواتف تبدو فرنسية. تشير إشارات المنطقة الزمنية للجهاز خلال الجلسات إلى أن المشغلين لا يتواجدون في فرنسا.
تتطلب عملية التحقق من الهوية (KYC) وجود شخص حقيقي يقدم وثيقة هوية حقيقية، وغالبًا ما يكون ذلك مع صورة شخصية حية أو فحص فيديو. يتلقى الضحية، الذي يتم التواصل معه عبر الهندسة الاجتماعية، رابطًا للتحقق ويكمل ما يعتقد أنه خطوة تحقق روتينية.
في المرحلة الثالثة، بمجرد اجتياز عملية التحقق من الهوية، يتم نقل السيطرة إلى عملية الاحتيال عبر تطبيق المنصة باستخدام جهاز Android منخفض التكلفة. تؤكد استمرارية الشبكة الفرعية هذا تسجيل الدخول الجديد إلى البنية التحتية للتسجيل، مما يؤكد أن التسليم هو خطوة تشغيلية متعمدة وليس حدث وصول شرعي.
يجب على منصات التكنولوجيا المالية وفرق مكافحة الاحتيال تمييز عناوين IP لشبكات الهاتف المحمول الافتراضية (MVNO) في جلسات التسجيل المكتبية ومراقبة سرعة التسجيل حسب الشبكة والمدينة ومزود خدمة الإنترنت. كما أن اعتبار أدلة تزوير بصمات الأصابع كإشارات احتيال عالية الثقة، وتمييز تخفيضات مستوى الجهاز بين التحقق من الهوية والتسليم التشغيلي، خطوات مهمة.
يتطلب الكشف عن هذه العمليات ربط الجلسات عبر دورة حياة الحساب الكاملة وتحديد الأنماط على مستوى الشبكة، بدلاً من تقييم الحسابات بمعزل عن بعضها البعض.