كشف باحثون في شركة Cisco Talos أن مجموعة من الجهات التهديدية المدفوعة بدوافع مالية تشن حملة تصيّد احتيالية واسعة النطاق منذ منتصف أكتوبر 2024، تستهدف مستخدمي أنظمة الدفع الإلكتروني للطرق (Toll Collection Systems) في ثماني ولايات أمريكية.
ووفقًا للباحثين عظيم خوجيباييف، وشيتان راغوبراساد، وجوي تشين، يتم تنفيذ الهجمات من خلال عدة جهات تهديد تستخدم عدة مجموعات تصيّد (Smishing Kits) طورها مجرم إلكتروني صيني يُعرف باسم “وانغ ديو يو” (Wang Duo Yu).
تقليد أنظمة دفع مشهورة مثل E-ZPass عبر رسائل نصية مزيفة
تنتحل هذه الحملات الاحتيالية صفة أنظمة دفع إلكتروني مشهورة في الولايات المتحدة مثل E-ZPass، وترسل رسائل نصية قصيرة SMS ورسائل iMessage إلى المستخدمين في ولايات:
-
واشنطن
-
فلوريدا
-
بنسلفانيا
-
فرجينيا
-
تكساس
-
أوهايو
-
إلينوي
-
كانساس
تدعي الرسائل أن هناك رسوم مرور غير مدفوعة، وتحث المستخدمين على النقر على رابط خبيث مرفق بالرسالة لتسوية الفاتورة.
ملاحظة:
كان الصحفي المتخصص بالأمن السيبراني براين كريبس قد سلّط الضوء على هذه الحملة في يناير 2025، وتتبع النشاط إلى خدمة تصيّد صينية تُعرف باسم “Lighthouse” وتُروّج على تيليغرام.
تكتيكات خداع ذكية لتجاوز قيود Apple
رغم أن نظام iMessage من آبل يعطل تلقائيًا الروابط من مصادر مجهولة، إلا أن الرسائل تطلب من الضحية الرد بالحرف “Y” لتفعيل الرابط — وهي حيلة تم رصدها سابقًا في أدوات تصيّد مثل Darcula وXiū gǒu.
عند النقر على الرابط، يتم توجيه الضحية إلى:
-
صفحة CAPTCHA وهمية لإضفاء الشرعية.
-
بعدها يتم نقله إلى صفحة E-ZPass مزيفة
-
يطلب منه إدخال الاسم والرمز البريدي (ZIP) للوصول إلى “الفاتورة”.
-
ثم يُطلب منه إدخال البيانات الشخصية ومعلومات البطاقة البنكية، والتي يتم إرسالها مباشرة إلى المهاجمين.
استخدام أدوات تصيّد مطورة ومباعة على تيليغرام
تشير Talos إلى أن هذه الحملات تستخدم عدة أدوات تصيّد (Smishing Kits) طورها وانغ ديو يو، وأن هناك مجموعة قرصنة إلكترونية منظمة صينية تُعرف باسم Smishing Triad تستخدم نفس الأدوات أيضًا.
من هو Wang Duo Yu؟
بحسب الباحث غرانت سميث، فإن وانغ هو طالب علوم حاسوب صيني، يستخدم مهاراته المكتسبة لتطوير أدوات تصيّد مدفوعة وتحقيق أرباح عبر بيعها على قنوات تيليغرام.
نشاط جماعة Smishing Triad
تشتهر مجموعة Smishing Triad بشن هجمات تصيّد واسعة تستهدف خدمات البريد السريع في أكثر من 121 دولة، مستخدمة رسائل فشل تسليم الطرود لخداع الضحايا وتحصيل رسوم “إعادة توصيل” وهمية.
كما تحاول بعض هذه الأدوات:
-
تسجيل بيانات بطاقات الضحايا في محافظ رقمية مثل Apple Pay أو Google Wallet.
-
استخدام تقنية Ghost Tap لسحب الأموال على نطاق واسع.
-
تضمين أبواب خلفية ترسل بيانات البطاقات أيضًا إلى مطوري الأدوات، وهي تقنية تُعرف باسم السرقة المزدوجة (Double Theft).
تفاصيل أسعار أدوات التصيّد (Smishing Kits)
تُباع أدوات وانغ بأسعار مختلفة حسب الوظيفة، منها:
-
50 دولارًا: إصدار كامل شامل للبنية التحتية.
-
30 دولارًا: نسخة مخصصة لخوادم خاصة بالعميل (proxy).
-
20 دولارًا: تحديثات الإصدارات.
-
20 دولارًا: دعم فني متنوع.
تركيز جديد على أستراليا ومنطقة آسيا والمحيط الهادئ
وفقًا لشركة Silent Push، فإن المجموعة الإجرامية تركّز حاليًا على نسخة جديدة من أدوات Lighthouse تستهدف البنوك والمؤسسات المالية في أستراليا وآسيا والمحيط الهادئ.
وتزعم المجموعة أن لديها أكثر من 300 موظف دعم فني حول العالم يعملون في تنفيذ خطط الاحتيال وسحب الأموال.
أدوات أخرى ذات صلة: Lucid وDarcula وXinXin
في تقرير حديث، ذكرت شركة PRODAFT السويسرية أن أدوات Lighthouse تشترك في أنماط تكتيكية مع أدوات تصيّد مثل Lucid وDarcula، رغم أنها تعمل بشكل مستقل عن مجموعة XinXin.
وتتابع الشركة وانغ ديو يو تحت الاسم الرمزي LARVA-241، وتقول إن لديه نمطًا مميزًا في إنشاء النطاقات وصفحات الهبوط المستهدفة.
أكثر من 60,000 نطاق احتيالي
وثقت شركة Resecurity استخدام عصابة Smishing Triad لأكثر من 60 ألف اسم نطاق، مما يصعّب على شركات مثل Apple وGoogle رصد ومنع الأنشطة الاحتيالية بشكل فعال.
وأضافت:
“من خلال خدمات الرسائل النصية بالجملة في السوق السوداء، يتمكن المهاجمون من استهداف ملايين المستخدمين بشكل جماعي، بحسب الموقع الجغرافي والديموغرافيا، وتنفيذ حملات تصيّد جماعية بكفاءة عالية.”
