بعد تحقيق استمر لمدة عام بقيادة الإنتربول، تم اعتقال ثلاثة أشخاص في لاغوس نيجيريا قاموا بتنفيذ هجمات الكترونية على حوالي 50000 شركة. ومن المحتمل أن المشتبه بهم هم جزءًا من مجموعة منظمة أكبر تشارك في هجمات اختراق البريد الإلكتروني للأعمال (BEC) منذ عام 2017 على الأقل.
تتعقب شركة Group-IB للأمن السيبراني هذه العصابة منذ عام 2019، وساعدت في التحقيق الذي يقوده الإنتربول والذي حصل على الاسم الرمزي Operation Falcon.
وحددت وحدة الجرائم الإلكترونية التابعة لقوة الشرطة النيجيرية، التي تحلل الأجهزة الإلكترونية الخاصة بالمشتبه بهم الثلاثة، تورطهم في نشاط إجرامي إلكتروني. واستطاعت تحديد عدد كبير من البيانات المسروقة من نحو 50000 ضحية على الأقل.
قد يكون العدد أعلى من ذلك بكثير، خصوصاً أن Group-IB تزعم أن العصابة استهدفت حوالي 500000 شركة تعمل في القطاعين الخاص والحكومي في أكثر من 150 دولة.
الإنتربول يوضح كيفية تنفيذ الهجمات
أوضح الإنتربول أن المشتبه بهم الثلاثة طوروا روابط تصيد ونطاقات وحملات بريدية جماعية انتحلوا فيها صفة ممثلي الشركات لتنفيذ هجماتهم. وقد مكنهم ذلك من توزيع ما لا يقل عن 26 برنامجاً خبيثاً مختلفاً على الضحايا.
وتشمل القائمة برامج ضارة مصممة لسرقة المعلومات مثل AgentTesla و Azorult و Loki و Pony وأدوات الوصول عن بُعد مثل NanoCore و Remcos و NetWire.
يتم استخدام هذه الأدوات بشكل شائع من قبل جهات التهديد النيجيرية المتخصصة في عمليات الاحتيال BEC. وهي إما متاحة مجاناً أو يمكن الوصول إليها على نطاق واسع في منتديات الجرائم الإلكترونية، بأسعار منخفضة.
إذ يستخدم محتالو BEC البرامج الضارة لجمع معلومات حساسة، مثل بيانات المصادقة من المتصفحات والبريد الإلكتروني وعملاء FTP. وتُستخدم التفاصيل بعد ذلك لتنفيذ عملية الاحتيال، والتي تتمثل عادةً في خداع الشركات لتسديد دفعة إلى حسابات بنكية يسيطر عليها المهاجمون.
في بعض الحالات، يقوم المهاجمون بتغيير تفاصيل الدفع بحيث تقوم الشركة الضحية بتحويل الأموال إلى حسابهم. في أوقات أخرى، يلجأ محتالو BEC إلى الهندسة الاجتماعية ويخدعون المنظمة فقط لتسديد دفعة مقابل طلب وهمي.
تجدر الإشارة إلى أن مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي تلقى ما يقارب من 24000 شكوى بشأن هذه الهجمات العام الماضي، مما تسبب في خسائر تقدر بنحو 1.7 مليار دولار.