“لقد حصلت على هذا الطفرة!”: كيف يسرق مجرمو الإنترنت رموز المرور لمرة واحدة لهجمات مبادلة بطاقة SIM ومداهمة الحسابات المصرفية
تومض المكالمة الهاتفية الواردة على هاتف الضحية. قد يستمر الأمر لبضع ثوانٍ فقط، ولكن يمكن أن ينتهي بتسليم الضحية رموزًا تمنح مجرمي الإنترنت القدرة على اختطاف حساباتهم عبر الإنترنت أو استنزاف العملات المشفرة والمحافظ الرقمية الخاصة بهم.
“هذا هو فريق أمان PayPal هنا. “لقد اكتشفنا بعض الأنشطة غير العادية على حسابك ونتصل بك كإجراء احترازي،” يقول صوت المتصل الآلي. “الرجاء إدخال رمز الأمان المكون من ستة أرقام والذي أرسلناه إلى جهازك المحمول.”
يقوم الضحية، الذي يجهل النوايا الخبيثة للمتصل، بإدخال الرمز المكون من ستة أرقام الذي تلقاه للتو عبر رسالة نصية في لوحة مفاتيح هاتفه.
“حصلت على هذا الطفرة!” تتم قراءة الرسالة على وحدة التحكم الخاصة بالمهاجم.
وفي بعض الحالات، قد يرسل المهاجم أيضًا رسالة بريد إلكتروني للتصيد الاحتيالي بهدف الحصول على كلمة المرور الخاصة بالضحية. ولكن في كثير من الأحيان، يكون هذا الرمز من هاتفه هو كل ما يحتاجه المهاجم لاقتحام حساب الضحية عبر الإنترنت. بحلول الوقت الذي ينهي فيه الضحية المكالمة، يكون المهاجم قد استخدم الرمز بالفعل لتسجيل الدخول إلى حساب الضحية كما لو كان المالك الشرعي.
وعلم موقع TechCrunch أنه منذ منتصف عام 2023، مكنت عملية اعتراض تسمى Estate مئات الأعضاء من إجراء آلاف المكالمات الهاتفية الآلية لخداع الضحايا لإدخال رموز مرور لمرة واحدة. تساعد العقارات المهاجمين على التغلب على ميزات الأمان مثل المصادقة متعددة العوامل، والتي تعتمد على رمز مرور لمرة واحدة يتم إرساله إلى هاتف الشخص أو بريده الإلكتروني أو يتم إنشاؤه من أجهزته باستخدام تطبيق المصادقة. يمكن لرموز المرور المسروقة التي تستخدم لمرة واحدة أن تمنح المهاجمين إمكانية الوصول إلى الحسابات المصرفية للضحية وبطاقات الائتمان والعملات المشفرة والمحافظ الرقمية والخدمات عبر الإنترنت. وكان معظم الضحايا في الولايات المتحدة.
لكن خطأ في كود شركة Estate كشف عن قاعدة بيانات الواجهة الخلفية للموقع، والتي لم تكن مشفرة. تحتوي قاعدة بيانات Estate على تفاصيل عن مؤسس الموقع وأعضائه، وسجلات سطرا تلو الآخر لكل هجوم منذ إطلاق الموقع، بما في ذلك أرقام هواتف الضحايا الذين تم استهدافهم، ومتى، ومن قبل أي عضو.
فانجيليس ستاكاس، باحث أمني وكبير مسؤولي التكنولوجيا في Atropos.ai، قدمت قاعدة بيانات العقارات إلى TechCrunch لتحليلها.
توفر قاعدة البيانات الخلفية نظرة نادرة حول كيفية عمل عملية اعتراض رمز المرور لمرة واحدة. تعلن خدمات مثل Estate عن عروضها تحت ستار تقديم خدمة مشروعة ظاهريًا للسماح لممارسي الأمن باختبار المرونة في مواجهة هجمات الهندسة الاجتماعية، ولكنها تقع في مساحة رمادية قانونية لأنها تسمح لأعضائها باستخدام هذه الخدمات لشن هجمات إلكترونية ضارة. وفي الماضي، قامت السلطات بمقاضاة مشغلي مواقع مماثلة مخصصة لأتمتة الهجمات الإلكترونية لتقديم خدماتهم للمجرمين.
تحتوي قاعدة البيانات على سجلات لأكثر من 93 ألف هجوم منذ إطلاق شركة Estate العام الماضي، مستهدفة الضحايا الذين لديهم حسابات لدى Amazon، وBank of America، وCapitalOne، وChase، وCoinbase، وInstagram، وMastercard، وPayPal، وVenmo، وYahoo (التي تمتلك TechCrunch)، والعديد من الشركات. آحرون.
وتُظهر بعض الهجمات أيضًا جهودًا لاختطاف أرقام الهواتف من خلال تنفيذ هجمات مبادلة بطاقة SIM – وكانت إحدى الحملات تحمل عنوان ببساطة “تحصل على صديق مبادلة بطاقة SIM” – وتهدد بقتل الضحايا.
قال مؤسس موقع Estate، وهو مبرمج دنماركي في أوائل العشرينات من عمره، لـ TechCrunch في رسالة بالبريد الإلكتروني الأسبوع الماضي: “لم أعد أدير الموقع بعد الآن”. وعلى الرغم من الجهود التي بذلها المؤسس لإخفاء عمليات شركة Estate عبر الإنترنت، فقد أخطأ في تكوين خادم شركة Estate مما أدى إلى كشف موقعها الحقيقي في مركز بيانات في هولندا.
تعلن شركة Estate عن نفسها على أنها قادرة على “إنشاء حلول OTP مخصصة تتناسب مع احتياجاتك تمامًا”، وتوضح أن “خيار البرمجة النصية المخصصة لدينا يمنحك السيطرة.” يستغل أعضاء العقارات شبكة الهاتف العالمية من خلال التظاهر بأنهم مستخدمين شرعيين للوصول إلى موفري الاتصالات الرئيسيين. كان أحد مقدمي الخدمة هو Telnyx، الذي قال رئيسه التنفيذي ديفيد كاسيم لـ TechCrunch أن الشركة حظرت حسابات Estate وأن التحقيق جار.
على الرغم من أن شركة Estate تحرص على عدم استخدام لغة صريحة ظاهريًا يمكن أن تحرض أو تشجع الهجمات الإلكترونية الضارة، إلا أن قاعدة البيانات تظهر أن شركة Estate تُستخدم بشكل حصري تقريبًا في الأعمال الإجرامية.
قال أليسون نيكسون، كبير مسؤولي الأبحاث في Unit 221B، وهي شركة للأمن السيبراني معروفة بالتحقيق في مجموعات الجرائم السيبرانية: “تشكل هذه الأنواع من الخدمات العمود الفقري للاقتصاد الإجرامي”. “إنهم يجعلون المهام البطيئة فعالة. وهذا يعني أن المزيد من الأشخاص يتلقون عمليات الاحتيال والتهديدات بشكل عام. ويفقد المزيد من كبار السن تقاعدهم بسبب الجريمة – مقارنة بالأيام التي سبقت وجود هذه الأنواع من الخدمات.
حاولت شركة Estate أن تبقى بعيدًا عن الأنظار عن طريق إخفاء موقعها الإلكتروني عن محركات البحث وجلب أعضاء جدد عن طريق الكلام الشفهي. وفقًا لموقعها على الويب، لا يمكن للأعضاء الجدد تسجيل الدخول إلى Estate إلا باستخدام رمز إحالة من عضو حالي، مما يبقي عدد المستخدمين منخفضًا لتجنب اكتشافهم من قبل موفري الاتصالات الأولية الذين تعتمد عليهم Estate.
بمجرد الدخول إلى الباب، توفر Estate للأعضاء أدوات للبحث عن كلمات مرور الحسابات التي تم اختراقها سابقًا لضحاياهم المحتملين، مما يترك الرموز لمرة واحدة باعتبارها العائق الوحيد أمام اختطاف حسابات الأهداف. تسمح أدوات Estate أيضًا للأعضاء باستخدام نصوص برمجية مخصصة تحتوي على تعليمات لخداع الأهداف لتسليم رموز المرور الخاصة بهم لمرة واحدة.
تم تصميم بعض نصوص الهجوم بدلاً من ذلك للتحقق من صحة أرقام بطاقات الائتمان المسروقة عن طريق خداع الضحية لتسليم رمز الأمان الموجود على ظهر بطاقة الدفع الخاصة به.
وفقًا لقاعدة البيانات، استهدفت إحدى أكبر حملات الاتصال على العقارات الضحايا الأكبر سنًا على افتراض أن “جيل الطفرة السكانية” هم أكثر عرضة لتلقي مكالمة هاتفية غير مرغوب فيها من الأجيال الشابة. اعتمدت الحملة، التي شملت حوالي ألف مكالمة هاتفية، على نص يبقي المجرم الإلكتروني على علم بكل محاولة هجوم.
“أجاب القديم f!” سيومض في وحدة التحكم عندما يلتقط الضحية المكالمة، وستظهر رسالة “دعم الحياة غير موصول” عندما ينجح الهجوم.
تُظهر قاعدة البيانات أن مؤسس شركة Estate يدرك أن عملائه هم إلى حد كبير ممثلون إجراميون، وقد وعدت شركة Estate منذ فترة طويلة بالخصوصية لأعضائها.
“نحن لا نسجل أي بيانات، ولا نطلب أي معلومات شخصية لاستخدام خدماتنا”، هذا ما جاء على موقع شركة Estate، وهو ازدراء لعمليات التحقق من الهوية التي يطلبها عادةً مقدمو خدمات الاتصالات وشركات التكنولوجيا قبل السماح للعملاء بالدخول إلى شبكاتهم.
ولكن هذا ليس صحيحا تماما. سجلت شركة Estate كل هجوم نفذه أعضاؤها بتفاصيل دقيقة يعود تاريخها إلى إطلاق الموقع في منتصف عام 2023. واحتفظ مؤسس الموقع بحق الوصول إلى سجلات الخادم التي توفر نافذة في الوقت الفعلي لما يحدث على خادم Estate في أي وقت، بما في ذلك كل مكالمة يجريها أعضاؤه، وكذلك في أي وقت يقوم فيه أحد الأعضاء بتحميل صفحة على موقع Estate الإلكتروني.
تُظهر قاعدة البيانات أن Estate تقوم أيضًا بتتبع عناوين البريد الإلكتروني للأعضاء المحتملين. قال أحد هؤلاء المستخدمين إنهم يريدون الانضمام إلى شركة Estate لأنهم “بدأوا مؤخرًا في شراء بطاقات الائتمان” – في إشارة إلى بطاقات الائتمان – ويعتقدون أن شركة Estate أكثر جدارة بالثقة من شراء روبوت من بائع غير معروف. وتظهر السجلات أنه تمت الموافقة لاحقًا على أن يصبح المستخدم عضوًا في العقارات.
تُظهر قاعدة البيانات المكشوفة أن بعض الأعضاء يثقون في وعد شركة Estate بعدم الكشف عن هويتهم من خلال ترك أجزاء من معلومات التعريف الخاصة بهم – بما في ذلك عناوين البريد الإلكتروني والمقابض عبر الإنترنت – في النصوص البرمجية التي كتبوها والهجمات التي نفذوها.
تحتوي قاعدة بيانات Estate أيضًا على نصوص الهجوم الخاصة بأعضائها، والتي تكشف الطرق المحددة التي يستغل بها المهاجمون نقاط الضعف في كيفية قيام عمالقة التكنولوجيا والبنوك بتنفيذ ميزات الأمان، مثل رموز المرور لمرة واحدة، للتحقق من هويات العملاء. لا تصف TechCrunch النصوص البرمجية بالتفصيل لأن القيام بذلك قد يساعد مجرمي الإنترنت في تنفيذ الهجمات.
وقال المراسل الأمني المخضرم بريان كريبس، الذي أبلغ سابقًا عن عملية رمز مرور لمرة واحدة في عام 2021، إن هذه الأنواع من العمليات الإجرامية توضح سبب وجوب “عدم تقديم أي معلومات ردًا على مكالمة هاتفية غير مرغوب فيها”.
“لا يهم من يدعي أنه يتصل: إذا لم تكن أنت من بدأ الاتصال، قم بإغلاق الخط. كتب كريبس: “إذا لم تكن أنت من بدأ الاتصال، قم بإغلاق الخط”. ولا تزال هذه النصيحة صحيحة حتى اليوم.
ولكن في حين أن الخدمات التي تقدم استخدام رموز المرور لمرة واحدة لا تزال توفر أمانًا أفضل للمستخدمين مقارنة بالخدمات التي لا تفعل ذلك، فإن قدرة مجرمي الإنترنت على التحايل على هذه الدفاعات تظهر أن شركات التكنولوجيا والبنوك ومحافظ العملات المشفرة والبورصات وشركات الاتصالات لديها المزيد من العمل لاختراقها. يفعل.
وقال نيكسون، من الوحدة 221 بي، إن الشركات في “معركة أبدية” مع الجهات الفاعلة السيئة التي تتطلع إلى إساءة استخدام شبكاتها، ويجب على السلطات تكثيف الجهود للقضاء على هذه الخدمات.
قال نيكسون: “الجزء المفقود هو أننا بحاجة إلى تطبيق القانون للقبض على العناصر الإجرامية التي تسبب إزعاجًا كبيرًا”. “يتعمد الشباب أن يصنعوا مهنة من هذا، لأنهم يقنعون أنفسهم بأنهم مجرد منصة و”غير مسؤولين عن الجريمة” التي يسهلها مشروعهم”.
“إنهم يأملون في كسب المال بسهولة في اقتصاد الاحتيال. هناك أشخاص مؤثرون يشجعون الطرق غير الأخلاقية لكسب المال عبر الإنترنت. يجب على تطبيق القانون أن يوقف هذا.”
