كشف خبراء حماية المخاطر الرقمية في مركز أبحاث واستخبارات التهديدات التابع لشركة (جروب-آي بي) Group-IB، التي مقرها سنغافورة، عن حملة احتيالية جديدة مستمرة تستهدف المتحدثين باللغة العربية الذين يبحثون عن وظائف في منطقة الشرق الأوسط وشمال إفريقيا، من خلال نشر وظائف مزيفة لسرقة البيانات.
ونشرت الشركة المتخصصة في مجال الأمن السيبراني تقريراً، في 21 مارس/آذار 2023، حلل فيه الباحثون أكثر من 2400 صفحة عمل مزيفة انتحلت صفة شركات من 13 دولة ضمن منطقة الشرق الأوسط وشمال إفريقيا أُنشئت على شبكات التواصل الاجتماعي من يناير/كانون الثاني 2022 حتى يناير/كانون الثاني 2023.
ووفقاً للتقرير، فقد انتحل المحتالون هوية أكثر من 40 شركة كبرى في المنطقة، ونشروا وظائف شاغرة باللغة العربية تقدم رواتب أقرب إلى الخيال؛ وهي عبارة عن حيلة هندسة اجتماعية تهدف إلى جعل الضحايا يتفاعلون مع المنشور بهدف سرقة بيانات اعتماد الحساب للمستخدم على شبكة التواصل الاجتماعي.
التقرير أشار إلى أنه من أجل تحقيق هذا الهدف، يُضمّن المحتالون روابط لمواقع احتيالية عبر منشورات تُنشر على الصفحات المزيفة في وسائل التواصل الاجتماعي، موضحاً أن مواقع الاحتيال هذه عادةً تكون مرتبطة بصفحات التصيّد الاحتيالي التي يطلب من الضحية فيها إدخال بيانات اعتماده وكلمة المرور الخاصة به.
شركات من 3 دول عربية
كما كشف محللو (جروب-آي بي) أن المحتالين غالباً ما ينتحلون صفة شركات من مصر والمملكة العربية السعودية والجزائر طيلة فترة حملة الاحتيال هذه.
وكانت حملة الاحتيال هذه ملحوظة بسبب كمية الصفحات المزيفة التي أُنشئت والعدد الكبير من البلدان المستهدفة. وإجمالاً، اكتشف خبراء حماية المخاطر الرقمية في (جروب-آي بي) أكثر من 2400 صفحة تنتحل شخصية أكثر من 40 علامة تجارية بارزة في منطقة الشرق الأوسط وشمال إفريقيا.
كما استهدفت هذه الحملة الناطقين باللغة العربية فقط، لأن جميع الإعلانات نُشرت باللغة العربية. والشركات في مصر كانت أكثر الشركات انتحالاً من قبل المحتالين، إذ كانت حصة مصر 48% من الصفحات المزيفة التي أُنشئت على فيسبوك، و23% من المنظمات والشركات في المملكة العربية السعودية، وتلتها الجزائر بنسبة 16%، ثم تونس بنسبة 7%، ثم المغرب بنسبة 4%.
وبخصوص ما يتعلق بالإطار الزمني، لوحظت حملة الاحتيال هذه أول مرة في شهر يناير/كانون الثاني 2022، وبلغت ذروة نشاطها في شهر أغسطس/آب الماضي، حينما أُنشئت 609 صفحات احتيال جديدة. ولا تزال صفحات الاحتيال الجديدة تُنشأ يومياً، وفي شهر يناير/كانون الثاني 2023، اكتُشفت 108 صفحات على منصة التواصل الاجتماعي فيسبوك تنشر وظائف شاغرة مزيفة لشركات موجودة في منطقة الشرق الأوسط وإفريقيا، وهو أعلى من عدد الصفحات التي أُنشئت في شهري نوفمبر/تشرين الثاني وديسمبر/كانون الأول 2022.
كما حلّل باحثو (جروب-آي بي) الوظائف الشاغرة المزيفة، ووجدوا أن العديد منها تدعي أنها تقدم رواتب جيدة جداً للوظائف التي تتطلب مهارات منخفضة ومتوسطة بحيث لا يمكن تصديقها، وهي وسيلة لجذب الضحايا.
كما ادعت إحدى الصفحات التي انتحلت صفة شركة بترول مشهورة في الجزائر أنها تقدم رواتب شهرية قدرها 4,500 يورو (4,800 دولار أمريكي) للسائقين والدهانين. وفي صفحات أخرى، أُعلن عن رواتب أكثر واقعية، حيث ذكر ملف شخصي ينتحل صفة شركة ألبان سعودية أن العمال يمكن أن يتوقعوا الحصول على ما يزيد عن 3,500 ريال سعودي (نحو 930 دولاراً أمريكياً).
ومن أجل التحقيق في حملة الاحتيال هذه، استخدم محللو (جروب-آي بي) منصة حماية المخاطر الرقمية الخاصة بالشركة، التي تستخدم تقنية الذكاء الاصطناعي وتحليل الصورة العالي الدقة وميزات التعرف على النصوص لتحديد المواقع الاحتيالية.
ولدى (جروب-آي بي) سياسة عدم التسامح مطلقاً مع الجرائم الإلكترونية. فقد حظرت الشركة أي صفحة من صفحات الاحتيال هذه التي انتحلت صفة عملائها.
إقناع المستخدمين بالحملة المزيفة
ويعتمد نجاح أي حملة احتيال على قدرة الجهات الفاعلة المهددة على انتحال شخصية شركة على نحو مقْنِع. ففي مخطط الاحتيال هذا، عرضت الغالبية العظمى من صفحات فيسبوك المزيفة الاسم الرسمي للعلامة التجارية المتأثرة. وكانت معظم هذه الحسابات تتضمن كلمة “وظائف” (شواغر) في عنوانها.
وتتميز المنشورات التي نُشرت على مثل هذه الصفحات بنص لافت للنظر، ينص عادةً على أن الشركة المعنية توظف بصورة عاجلة في مجموعة من المناصب.
وكثيراً ما يحاول المحتالون توليد شعور زائف بالإلحاح لحث الضحايا على اتخاذ إجراءات دون تقييم كون الفرصة التي يتفاعلون معها حقيقية أم لا. وفي هذه الحالة، يعني اتخاذ إجراء النقر فوق رابط صفحة الاحتيال الواردة في المنشور على فيسبوك.
وغالباً ما تكون صفحات الاحتيال هذه بسيطة جداً وتحتوي فقط على زر «سجل الآن». والأهم من ذلك تحتوي على العلامة التجارية للشركة المعنية، إلى جانب وصف للوظائف التي يزعمون أنها إعلانات. وبعد أن ينقر الضحية على زر “سجّل الآن”، يُعاد توجيهها غالباً إلى صفحة تصيد تنتحل إحدى شبكات التواصل الاجتماعي، مثل فيسبوك.
وإذا أدخل المستخدم بريده الإلكتروني أو رقم هاتفه وكلمة المرور الخاصة به، فإنه يصبح لدى المحتالين كل ما يحتاجون إليه للوصول إلى حساب الضحية على منصة التواصل الاجتماعي. وفي حالات نادرة، تُستخدم صفحات الويب الاحتيالية لإعادة توجيه المستخدمين إلى صفحات احتيال أخرى.
في السياق، قال (شريف هلال)، رئيس فريق تحليلات الحماية من المخاطر في منطقة الشرق الأوسط وشمال إفريقيا لدى (جروب-آي بي): “الحملة الاحتيالية هذه مهمة؛ لأنها تستهدف المستخدمين الأفراد للإنترنت في الشرق الأوسط وشمال إفريقيا عبر منصة فيسبوك، وهي شبكة تواصل اجتماعية مشهورة للغاية في المنطقة. كما حدد باحثو حماية المخاطر الرقمية في (جروب-آي بي) حالات احتيال تستخدم التكتيكات والأدوات ذاتها لجذب الضحايا سابقاً، وسنواصل الاستفادة من هذه التجربة، باستخدام تقنية (جروب-آي بي) لاكتشاف وإزالة المواقع الاحتيالية لضمان الأمن الرقمي للشركات ومستخدمي الإنترنت. من خلال هذا البحث، نأمل في زيادة الوعي في منطقة الشرق الأوسط وإفريقيا بالحيل التي يستخدمها المحتالون، مثل: استهداف الباحثين عن عمل، لسرقة بياناتهم وربما التسبب في خسارة مالية لهم”.