كشف تقرير حديث صادر عن مجموعة Google لاستخبارات التهديدات GTIG عن تحول جذري في طبيعة عمل منظومة التصيد الاحتيالي الناطقة بالصينية، إذ لم تعد تلك المنصات تكتفي بسرقة كلمات المرور التقليدية، بل باتت تسعى إلى الاستيلاء الفوري على الحسابات المصرفية ومحافظ الدفع الرقمي في الوقت الحقيقي. ويكشف التقرير أن هذه المنظومة نضجت بشكل لافت وباتت تُشكّل منافساً حقيقياً للمنصات الروسية التي طالما هيمنت على هذا السوق الإجرامي.
من سرقة كلمة المرور إلى اختطاف الجلسة في الوقت الحقيقي
درست مجموعة Google لاستخبارات التهديدات ما لا يقل عن اثنتي عشرة خدمة تصيد احتيالي نشطة في المجتمعات الجرائمية السيبرانية الناطقة بالصينية، ورصدت خدمات ناضجة يرتبط كثير منها على الأرجح بمنظومة الجريمة الإقليمية الأوسع. وقد تخلى الفاعلون إلى حد بعيد عن أسلوب جمع كلمات المرور الثابتة لصالح الاعتراض الفوري وعمليات التوكينة في الوقت الفعلي.
والتحول الجوهري في هذا الأسلوب الجديد يكمن في آلية عمل لوحات الإدارة الحية. فعندما تُدخل الضحية بياناتها في الصفحة المزيفة وتُولِّد رمز المرور لمرة واحدة OTP، يتلقى المهاجم بيانات تسجيل الدخول فوراً على لوحة إدارية ويُعيد توجيه رمز المصادقة في غضون ثوانٍ قبيل انتهاء صلاحيته. بهذه الطريقة يُحيَّد التحقق الثنائي بالكامل، وهو الدرع التي طالما اعتُبرت حصينة أمام هجمات التصيد التقليدي.
لكن الهدف لا يتوقف عند الدخول إلى الحساب. يستخدم المهاجمون بيانات البطاقة ورمز OTP الذي حصلوا عليه لإضافة بطاقة الضحية إلى محفظة رقمية على جهاز يسيطرون عليه. وبمجرد إتمام عملية التوكينة، تصبح البطاقة صالحة للاستخدام في مدفوعات لا تلامسية وعمليات شراء بقيم مرتفعة وسحب نقدي من أجهزة الصراف الآلي. أي أن الهدف لم يعد مجرد الدخول إلى الحساب بل السيطرة المالية المباشرة على أموال الضحية.
منصة YY Lai Yu: أكثر من 400 قالب لاستهداف المستهلك الياباني
تُعدّ منصة YY Lai Yu، التي ظهرت أولاً في إعلانات أغسطس 2024، نموذجاً بارزاً على مستوى التخصص الجغرافي الذي بلغته هذه الخدمات. فرغم أنها تدعم عمليات التصيد في 119 دولة، يظل تركيزها الأكبر على اليابان، إذ تتيح للفاعلين الناطقين بالصينية البنية التحتية اللازمة لاستهداف النظام الاستهلاكي الياباني بكفاءة عالية.
ومنذ نوفمبر 2025، باتت المنصة تُوفر أكثر من 400 قالب تصيد متخصص يستهدف كبرى العلامات التجارية اليابانية والدولية، من بينها Amazon وApple وNintendo وRakuten وJCB وPayPay وNomura Securities ومنصات أخرى لتداول الأوراق المالية والبريد السريع. وهو ما يعني أن المنصة تجاوزت منذ زمن نطاق الاستهداف المصرفي التقليدي لتطال الحياة الاستهلاكية اليومية بأكملها.
وقد امتدت الحملات لتشمل موضوعات مرتبطة بنقاط الولاء وبرامج المكافآت ودعم فواتير الكهرباء، وهي حيل تتلاءم مع ما يعيشه المستهلك الياباني يومياً مما يرفع معدل النقر على الروابط الخبيثة بشكل ملحوظ.
تُرسل المنصة رسائل مشفرة بالجملة عبر RCS وiMessage وتدعم تفاعلات متزامنة مع الضحايا لاستخلاص بيانات بطاقات الدفع ورموز OTP. كما تُتيح لوحة الإدارة الاستعلام عن البيانات المُخترقة وتصفيتها وفق رقم BIN الخاص بالبطاقة، وحجب دول بعينها، وتسجيل نطاقات جديدة للصفحات الخبيثة عبر خدمة تسجيل النطاقات التابعة لمجموعة Alibaba.
الذكاء الاصطناعي يُعيد رسم حدود الاحتيال الرقمي
تعمل منظومة التصيد الصينية الناطقة وفق نموذج “التوطين كخدمة”، مما يُوفر البنية التحتية اللازمة للطلاقة الثقافية على المستوى الدولي. ويأتي الذكاء الاصطناعي في صميم هذا التطور.
على سبيل المثال، تخلت منصة Darcula المرتبطة بالفاعل UNC5814 كلياً عن القوالب الثابتة لصالح مولدات صفحات مدعومة بالذكاء الاصطناعي وأدوات أتمتة المتصفح القادرة على استنساخ المواقع الشرعية بكل عناصرها من HTML وCSS وJavaScript ومكوناتها البصرية. ولأن كل صفحة تصيد ناتجة عن هذه العملية تكون فريدة، تصبح طرق الكشف القائمة على التوقيعات الرقمية عديمة الجدوى.
ولا تقتصر المنصات الصينية الأكثر تطوراً على تقديم أدوات التصيد وحدها، بل توفر خدمات مساندة شاملة تشمل بيع المعلومات الشخصية القابلة للتعريف، وتسجيل النطاقات واستضافة الخوادم الافتراضية، وغسيل الأموال، وأجهزة IMSI Catcher لاعتراض الاتصالات، وخدمات إرسال الرسائل بالجملة، وتداول بيانات بطاقات الدفع المسروقة.
أما على صعيد قنوات التوزيع، فقد تخلى المشغلون عن الرسائل النصية SMS التقليدية لسبب تقني وجيه. يفضّل المشغلون RCS وiMessage من Apple، وكلاهما مشفر من طرف إلى طرف، مما يجعل فحص الروابط الخبيثة أو تصفيتها من جانب البنية التحتية للمشغّل أمراً بالغ الصعوبة. وتُضيف هذه القنوات بُعداً نفسياً إضافياً يتمثل في الإيحاء بالمصداقية عبر إيصالات القراءة ومؤشرات الكتابة المتحركة.
ويتمايز النموذج الصيني عن نظيره الروسي في طبيعة الاستهداف، إذ تنصبّ خدمات التصيد الروسية عادةً على عملاء المؤسسات الكبرى، في حين تُوسّع الخدمات الصينية نطاقها الانتهازي ليشمل عموم الجمهور. وتنشر هذه المنصات إعلاناتها علناً عبر Telegram بدلاً من منصات WeChat أو Tencent QQ، في إشارة إلى بحثها المتعمد عن جمهور دولي لا يتقيد بحدود جغرافية.
وفي مواجهة هذا المشهد المتصاعد التعقيد، يُوصي الباحثون بالتحول نحو بنية تحتية للمصادقة تعتمد معيار FIDO2 وWebAuthn المقاوم للتصيد الاحتيالي بطبيعته، مقترنةً بآليات التحقق القائمة على المخاطر وبصمة الجهاز، للتصدي للاعتراض الفوري لرموز المصادقة.
