كشف باحثون في الأمن السيبراني عن جانب مظلم من البنية التحتية الرقمية، يتمثل في مزوّدي خدمات متخصصين يمدّون شبكات الجريمة الإلكترونية بالأدوات اللازمة لتشغيل اقتصاد الاحتيال المعروف باسم Pig Butchering-as-a-Service (PBaaS)، أو ما يُعرف بعمليات الاحتيال الرومانسية والاستثمارية واسعة النطاق.
مراكز احتيال صناعية في جنوب شرق آسيا
منذ عام 2016، أقامت مجموعات ناطقة بالصينية مجمّعات ضخمة في جنوب شرق آسيا، تحولت إلى “مناطق اقتصادية خاصة” مكرّسة للاحتيال عبر الاستثمار والتقمص. هذه المجمّعات تستضيف آلاف الأشخاص الذين يُستدرجون بوعود وظائف عالية الأجر، ثم تُصادر جوازاتهم ويُجبرون على تنفيذ عمليات الاحتيال تحت التهديد بالعنف. منظمة الإنتربول وصفت هذه الشبكات بأنها مزيج من الاتجار بالبشر والاحتيال على نطاق صناعي.
أدوات جاهزة لتشغيل الاحتيال الرقمي
أحد أبرز اللاعبين في هذا المجال هو Penguin Account Store المعروف أيضاً باسم “Heavenly Alliance” و”Overseas Alliance”. يعمل هذا الكيان وفق نموذج الجريمة كخدمة (CaaS)، حيث يبيع مجموعات احتيال وقوالب جاهزة وبيانات مسروقة لمواطنين صينيين، إضافة إلى حسابات مسروقة من منصات شهيرة مثل تويتر، فيسبوك، إنستغرام، يوتيوب، وحتى خدمات موسيقية مثل سبوتيفاي وآبل ميوزيك. الأسعار تبدأ من 0.10 دولار للحسابات المسجلة مسبقاً، وتزداد بحسب تاريخ التسجيل ودرجة الموثوقية.
لا يقتصر الأمر على الحسابات، بل يشمل بطاقات SIM مسجلة مسبقاً، أجهزة راوتر 4G و5G، صور مسروقة تُستخدم للإيقاع بالضحايا، إضافة إلى منصة SCRM AI التي تتيح إدارة علاقات العملاء بشكل آلي عبر وسائل التواصل الاجتماعي. كما يقدّم الكيان منصة دفع مشبوهة باسم BCD Pay مرتبطة مباشرة بشبكات المقامرة غير القانونية.
منصات إدارة الاحتيال وتوسيع نطاقه
إلى جانب Penguin، يظهر مزوّد آخر هو UWORK الذي يبيع أدوات إدارة المحتوى والوكلاء، ويقدّم قوالب جاهزة لإنشاء مواقع احتيال استثماري. هذه المواقع غالباً ما تتكامل مع منصات تداول شرعية مثل MetaTrader لإضفاء مصداقية زائفة عبر عرض بيانات مالية حقيقية. كما تحتوي على لوحات “اعرف عميلك” (KYC) تطلب من الضحايا رفع وثائق هويتهم، ما يمنح المحتالين سيطرة كاملة على العملية.
تتضمن هذه المنصات لوحات تحكم متقدمة لإدارة المستخدمين والوكلاء، مع قوالب بريد إلكتروني وسجلات محادثة، مما يجعل إدارة الاحتيال أكثر تنظيماً واحترافية. بعض هذه الخدمات تشمل تطبيقات موبايل تُوزّع خارج متاجر التطبيقات الرسمية أو حتى تُنشر داخلها متخفية كـ”تطبيقات أخبار”، لتظهر واجهة الاحتيال فقط عند إدخال كلمة مرور معينة.
البنية التحتية الموازية: النطاقات المركونة والبرمجيات الخبيثة
الدراسة الأخيرة من شركة Infoblox كشفت أن أكثر من 90% من النطاقات المركونة (المهملة أو المنتهية الصلاحية) تُستخدم لإعادة توجيه الزوار إلى مواقع احتيال أو برمجيات خبيثة. هذه النطاقات تستغل تقنيات مثل بصمة الجهاز وملفات تعريف الارتباط لتحديد نوع المستخدم قبل إعادة توجيهه.
كما ظهر أن أدوات مثل Evilginx، وهي مجموعة تصيّد متقدمة “Adversary-in-the-Middle”، تُستخدم لاستهداف جامعات أميركية وسرقة بيانات الدخول وملفات تعريف الجلسات. النسخ الحديثة مثل Evilginx Pro باتت أكثر قدرة على التهرب من الكشف عبر شهادات TLS عامة، تقنيات بصمة متقدمة، صفحات وهمية، ودعم متعدد النطاقات.
شبكات المقامرة والتهديدات المستمرة
إلى جانب ذلك، كشفت شركة Malanta عن بنية تحتية هائلة تضم أكثر من 328 ألف نطاق، بينها 236 ألف نطاق مرتبط بالمقامرة، نشطة منذ عام 2011. هذه الشبكة تستهدف زواراً ناطقين بالإندونيسية، وتجمع بين المقامرة غير القانونية، التلاعب بمحركات البحث، توزيع البرمجيات الخبيثة، والاستيلاء على أصول سحابية منتهية الصلاحية. الباحثون رجّحوا أن تكون هذه العملية مدعومة من جهة ذات مستوى APT (تهديد مستمر متقدم)، ما يعكس مدى تعقيدها وارتباطها العميق بالبيئة السيبرانية الإندونيسية.
