حملة احتيالية جديدة مستمرة تستهدف المتحدثين باللغة العربية الذين يبحثون عن وظائف في منطقة الشرق الأوسط وشمال أفريقيا، كشفت عنها الشركة العالمية الرائدة في مجال الأمن السيبراني ““جروب-أي بي”” والتي استحدثت لها مركز أبحاث في دبي، الإمارات العربية المتحدة.
وتفيد المعلومات بأن أكثر من 2400 صفحة عمل مزيفة انتحلت صفة شركات من 13 دولة ضمن منطقة الشرق الأوسط وشمال أفريقيا تم إنشاؤها على شبكات التواصل الاجتماعي من يناير 2022 حتى يناير 2023. في هذه الصفحات، انتحل المحتالون هوية أكثر من 40 شركة كبرى في المنطقة ونشروا وظائف شاغرة باللغة العربية تقدم رواتب أقرب للخيال؛ وهي عبارة عن حيلة هندسة اجتماعية تهدف إلى جعل الضحايا يتفاعلون مع المنشور بهدف سرقة بيانات اعتماد حساب المستخدم على شبكة التواصل الاجتماعي.
ومن أجل تحقيق هذا الهدف، يقوم المحتالون بتضمين روابط لمواقع احتيالية عبر منشورات يتم نشرها على الصفحات المزيفة في وسائل التواصل الاجتماعي. مواقع الاحتيال هذه تكون عادة مرتبطة بصفحات التصيّد الاحتيالي التي يُطلب من الضحية فيها إدخال بيانات اعتمادها وكلمة المرور الخاصة بها. كما كشف محللو الشركة أن المحتالين غالباً ما ينتحلون صفة شركات من مصر والمملكة العربية السعودية والجزائر طوال فترة حملة الاحتيال.
من أجل التحقيق في حملة الاحتيال هذه، استخدم محللو “جروب-أي بي” منصة حماية المخاطر الرقمية الخاصة بالشركة، التي تستخدم تقنية الذكاء الاصطناعي وتحليل الصورة عالي الدقة وميزات التعرف على النصوص لتحديد المواقع الاحتيالية.
فسياسة الخصوصية في العديد من الشبكات الاجتماعية تحد من الوصول إلى المعلومات المتعلقة بمنشئي الحسابات الشخصية الفردية التي تم استخدامها في هذه الحملة الاحتيالية، وقرار المحتالين بإنشاء صفحات الاحتيال والتصيّد الاحتيالي عبر استخدام منصات تقدم خدمات إنشاء الروابط الرخيصة أو المجانية، جعلت من المستحيل تحديد ما إذا كانت جميع صفحات الاحتيال التي تزيد عن 2400 صفحة قد تم إنشاؤها بواسطة مجموعة واحدة أو أكثر.
علاوةً على ذلك، تستهدف عملية الاحتيال هذه الأفراد بشكل حصري، وكثير منهم لن يكونوا على دراية بأن حساباتهم قد تعرضت للاختراق، مما يحد من رؤية الحجم الكامل لهذه الحملة. على الرغم من ذلك، سيواصل باحثو حماية المخاطر الرقمية في الشركة بمراقبة عملية الاحتيال هذه، والعمل على ضمان إزالة أي صفحات تنتحل اسم وصفة عمل الشركات المتضررة.
القضاء على الحملات الاحتيالية
حملة الاحتيال هذه كانت ملحوظة بسبب كمية الصفحات المزيفة التي تم إنشاؤها والعدد الكبير من البلدان المستهدفة. إجمالاً، اكتشف خبراء حماية المخاطر الرقمية أكثر من 2400 صفحة تنتحل شخصية أكثر من 40 علامة تجارية بارزة في منطقة الشرق الاوسط وشمال افريقيا. كما استهدفت هذه الحملة الناطقين باللغة العربية فقط، كون جميع الإعلانات تم نشرها باللغة العربية.
والشركات في مصر كانت الأكثر انتحالًا من قبل المحتالين، حيث كانت حصة مصر 48% من الصفحات المزيفة التي تم انشاؤها على فيسبوك. و23% من المنظمات والشركات في المملكة العربية السعودية وتلتها الجزائر بنسبة 16% وتونس بنسبة 7% وصولاً إلى المغرب 4%.
فيما يتعلق بالإطار الزمني، لوحظت حملة الاحتيال هذه لأول مرة في يناير 2022، وبلغت ذروة نشاطها في أغسطس الماضي، عندما تم إنشاء 609 صفحة احتيال جديدة. لا تزال صفحات الاحتيال الجديدة تُنشأ بشكل يومي، وفي يناير 2023، تم اكتشاف 108 صفحات على منصة التواصل الاجتماعي “فيسبوك” تنشر وظائف شاغرة مزيفة لشركات موجودة في منطقة الشرق الأوسط وأفريقيا، وهو أعلى من عدد الصفحات التي تم انشاؤها في نوفمبر وديسمبر 2022.
قام باحثو “جروب-أي بي” بتحليل الوظائف الشاغرة المزيفة، ووجدوا أن العديد منها تدعي أنها تقدم رواتب جيدة جداً للوظائف التي تتطلب مهارات منخفضة ومتوسطة بحيث لا يمكن تصديقها وهي وسيلة لجذب الضحايا. كما ادعت إحدى الصفحات التي انتحلت شركة بترول مشهورة في الجزائر أنها تقدم رواتب شهرية قدرها 4500 يورو (4800 دولار أمريكي) للسائقين والدهانين. وفي صفحات أخرى، تم الإعلان عن رواتب أكثر واقعية، حيث ذكر ملف شخصي ينتحل صفة شركة ألبان سعودية أن العمال يمكن أن يتوقعوا الحصول على ما يزيد عن 3500 ريال سعودي (حوالي 930 دولار أمريكي).
ركزت الجهات الفاعلة في هذه الحملة بالذات أنظارها على قطاعات متعددة، على الرغم من أن صناعة الخدمات اللوجستية كانت الأكثر استهدافاً، اكتشفت التحليلات أن 64٪ من الصفحات الاحتيالية تنتحل صفة شركات عاملة في هذا القطاع. كما لفت التقرير الأمني إلى أن المحتالين الذين يستهدفون المستخدمين في منطقة الشرق الاوسط وافريقيا مغرمون بشكل خاص بانتحال صفة المؤسسات اللوجستية بسبب العائد المرتفع للاستثمار المحتمل. في حين 20% من صفحات الاحتيال انتحلت صفة شركات الأطعمة والمشروبات و12% منها انتحلت صفة شركات بترولية. كما تم انتحال شخصية شركة محددة في أكثر من 1000 صفحة مزيفة.
كانت الأهداف الرئيسية الأخرى من هذه الحملة هي شركة ألبان في المملكة العربية السعودية وشركة لوجستية جزائرية، تم استخدام علاماتها التجارية في أكثر من 200 و300 صفحة على التوالي. كما زعمت بعض الصفحات التي تم تحديدها في حملة الاحتيال هذه أنها تقدم وظائف للأفراد في كأس العالم لكرة القدم 2022 في قطر.
هذا وكان قد نشر باحثو خبراء حماية المخاطر الرقمية لدى “جروب-أي بي” أواخر العام الماضي، والذين شاركوا في جهود إنفاذ القانون الدولي لتأمين المساحة الرقمية حول هذه البطولة، النتائج التي توصلوا إليها بنتائج أبحاثهم فيما يتعلق بالبضائع المزيفة، والتذاكر المزيفة، وعمليات الاحتيال الوظيفية المزيفة التي استهدفت كأس العالم في قطر 2022، والتي تضمنت اكتشاف أكثر من 16000 موقع احتيالي.
إقناع المستخدمين الاشتراك في الحملة المزيفة
يعتمد نجاح أي حملة احتيال على قدرة الجهات الفاعلة المهددة على انتحال شخصية شركة بشكل مقنع. في مخطط الاحتيال هذا، عرضت الغالبية العظمى من صفحات فيسبوك المزيفة الاسم الرسمي للعلامة التجارية المتأثرة. وكانت معظم هذه الحسابات تتضمن كلمة «وظائف» (شواغر) في عنوانها.
تتميز المنشورات التي نشرت على مثل هذه الصفحات بنص لافت للنظر، والذي ينص عادةً على أن الشركة المعنية توظف بشكل عاجل لمجموعة من المناصب. كثيراً ما يحاول المحتالون خلق شعور زائف بالإلحاح لحث الضحايا على اتخاذ إجراءات دون تقييم ما إذا كانت الفرصة التي يتفاعلون معها حقيقية أم لا. في هذه الحالة، يعني اتخاذ إجراء النقر فوق رابط صفحة الاحتيال الواردة في المنشور على فيسبوك.
غالباً ما تكون صفحات الاحتيال هذه بسيطة جداً وتحتوي فقط على زر «سجل الان». والاهم من ذلك تحتوي على العلامة التجارية للشركة المعنية، إلى جانب وصف للوظائف التي يزعمون أنها إعلانات. بمجرد أن تنقر الضحية على زر «سجل الان»، يتم إعادة توجيهها غالباً إلى صفحة تصيد تنتحل إحدى شبكات التواصل الاجتماعي، مثل فيسبوك.
إذا قام المستخدم بإدخال بريده الإلكتروني ورقم هاتفه وكلمة المرور الخاصة به، فإن المحتالين لديهم الآن كل ما يحتاجون إليه للوصول إلى حساب الضحية على منصة التواصل الاجتماعي. في حالات نادرة، يتم استخدام صفحات الويب الاحتيالية لإعادة توجيه المستخدمين إلى صفحات احتيال أخرى.
وبالتالي، تعرض عمليات سرقة البيانات الضحايا لمخاطر كبيرة في حال كانوا يستخدمون نفس اسم المستخدم وكلمة المرور لحسابات في منصات أخرى؛ خاصة تلك المتعلقة بالشؤون المالية الشخصية، مثل محافظ العملات المشفرة والمحافظ الاستثمارية.
بالإضافة إلى ذلك، وجد خبراء “جروب-أي بي” حالات استخدم فيها المحتالون حسابات قد تم اختراقها لمشاركة روابط الاحتيال والتصيّد الاحتيالي مع مستخدمين آخرين، ويمكن لجهات التهديد الفاعلة أيضاً طلب أموال من الضحية لاسترداد الحساب. الأمر الذي سبب للشركات والعلامات التجارية المستهدفة مخاطر تتعلق بسمعة الشركة.
تحث “جروب-أي بي” مستخدمي الإنترنت على توخي اليقظة والتحقق دائمًا من رابط الموقع (URL) عند اتباع الروابط التي يُزعم أنها تؤدي إلى موقع الويب الخاص بالشركة، خاصةً إذا تم الوصول إلى هذه الروابط على وسائل التواصل الاجتماعي أو إرسالها عبر وسائل الدردشة.
بالإضافة إلى ذلك، يجب على المستخدمين تمكين المصادقة الثنائية (2FA) لحساباتهم عبر الإنترنت لتوفير طبقة إضافية من الأمان التي يمكن أن تمنع مثل عمليات الاحتيال هذه، ويجب عليهم أيضًا التأكد من أنهم لا يستخدمون نفس كلمة المرور لحسابات متعددة.