فخاخ إلكترونية.. كيف خُدع الموظفون وأُرسلت رواتبهم إلى القراصنة؟

في حملة خبيثة تكشف عن تصاعد مستوى الاحتيال الإلكتروني، تمكن قراصنة من خداع موظفين عبر الإنترنت وسرقة رواتبهم من خلال استغلال نتائج محركات البحث.

القصة بدأت بعملية بحث بسيطة على "غوغل"، وانتهت بتحويل أموال الموظفين إلى حسابات خارجة عن سيطرة المؤسسات.

وكشفت شركة ReliaQuest المتخصصة في الأمن السيبراني، عن حملة بدأت في مايو 2025 واستهدفت أحد عملائها في قطاع التصنيع، حيث استخدم القراصنة صفحات تسجيل دخول مزيفة للوصول إلى بوابات الرواتب، ومن ثم تعديل بيانات الإيداع المباشر، لتُحوّل الرواتب إلى حسابات تقع تحت سيطرتهم.

ووفقاً للتحقيق، اعتمد المهاجمون على تقنيات تحسين محركات البحث (SEO) لإظهار مواقعهم المزيفة في نتائج البحث الأولى، مستهدفين الموظفين الذين يستخدمون هواتفهم المحمولة، وهي أجهزة غالباً ما تكون أقل حماية مقارنة بأجهزة الحواسيب المكتبية في الشركات.

صفحات مزيفة وهجمات صامتة

عند محاولة الموظف الوصول إلى بوابة الرواتب من خلال "غوغل"، يتم توجيهه إلى موقع مشبوه تم تصميمه بعناية ليشبه صفحة تسجيل الدخول الأصلية.

بمجرد إدخال بياناته، تُرسل هذه المعلومات فورًا إلى خادم المهاجم، عبر قناة اتصال WebSocket، ما يمنحه فرصة فورية لاستخدامها قبل أن يتم تغيير كلمات المرور.

واعتمدت الحملة على شبكات منزلية ومحمولة تم اختراقها مسبقًا، ما ساعد المهاجمين على تجاوز الأنظمة الأمنية التي ترصد محاولات الدخول المشبوهة.

كما أن استخدامهم لعناوين IP سكنية جعل عملية تعقبهم أكثر تعقيدًا، خاصة مع استغلال أجهزة توجيه من علامات تجارية شهيرة مثل ASUS وPakedge.

أجهزة محمولة بلا حماية

واحدة من أبرز ثغرات هذه الهجمات كانت استهداف الهواتف المحمولة، التي غالباً ما تكون خارج شبكة الشركة وتفتقر إلى أنظمة الحماية المتقدمة، ما يفتح الباب أمام هجمات أكثر تعقيدًا، ويعقّد جهود التحقيق من قبل فرق الأمن السيبراني.

وقالت شركة ReliaQuest إن هذه الهجمات لا تقتصر على سرقة بيانات الدخول فحسب، بل تعطل أيضًا قدرة فرق الأمن على تحليل المواقع الضارة وإدراجها ضمن مؤشرات الاختراق، ما يُعقّد عملية التصدي للهجمات.

احتيال من نوع جديد

اللافت أن هذه الحملة ليست معزولة، إذ تم الربط بينها وبين حملات تصيد أوسع نطاقًا ظهرت مؤخرًا، مثل حملة تستهدف مستخدمي "Outlook" عبر صفحة وهمية لخدمة Adobe Shared File، وأداة تصيد جديدة تدعى CoGUI تستهدف المؤسسات اليابانية عبر تقليد علامات تجارية كبرى.

وتشير التقارير إلى أن أداة CoGUI استخدمت أكثر من 580 مليون رسالة بريد إلكتروني بين يناير وأبريل 2025، وهي مزودة بآليات تهرب متقدمة، مثل تحديد المواقع الجغرافية وبصمات الأجهزة، ما يجعل اكتشافها أكثر صعوبة.

احتيال على الطريقة الصينية

في سياق متصل، تم رصد أداة تصيد تُعرف باسم "باندا شوب" تستخدم قنوات "تيليغرام" وروبوتات تفاعلية لتوزيع صفحات تصيد تحاكي مواقع حكومية وتجارية، بهدف سرقة بيانات حساسة، وتبيعها لاحقًا على أسواق إلكترونية سوداء.

وتقول شركة Resecurity إن هذه الأدوات، والتي تديرها مجموعات صينية مثل Smishing Triad، تتسم بالجرأة وتعمل دون خوف من المحاسبة، ما يجعلها واحدة من أخطر التهديدات الإلكترونية في العالم حاليًا.

تحذير للمؤسسات والأفراد

مع تطور أساليب التصيد والاحتيال، بات من الضروري توخي الحذر عند الوصول إلى بوابات الرواتب أو الخدمات الحساسة عبر الإنترنت، خاصة عبر الهواتف المحمولة.

كما يُنصح بتفعيل المصادقة متعددة العوامل، وتجنب النقر على الروابط الدعائية عند البحث عن خدمات الشركة.

الهجمات الأخيرة تُظهر أن القراصنة باتوا أكثر ذكاءً وتنظيمًا، وأن الاحتيال الإلكتروني لم يعد مجرد رسائل بريد عشوائية، بل خطط محكمة تنفذها شبكات عالمية متطورة.