احتيال

عمليات الاحتيال المتعلقة بطباعة بطاقات الهوية التي تنظمها مجموعة مقرها UP تقوم بالاحتيال على الجمهور الهندي

August 20, 2022

دقيقة

جدول المحتوى

مثال H2

باحث: أروشي كولوال
محللون: أبهيناف باندي وفيكاس كوندو
المحرر: بينيلا سوزان جاكوب

على الرغم من الثورة الرقمية في الهند، لا تزال شريحة كبيرة من السكان تفضل النسخ المادية على نظيراتها الرقمية، خاصة عندما يتعلق الأمر ببطاقات الهوية مثل رخص القيادة، وآدهار، وما إلى ذلك، وهذه الحاجة تفسر وجود متاجر الزاوية التي تقدم خدمات طباعة الهوية. ومع ذلك، مع إغلاق المتاجر الفعلية بسبب الوباء، لجأ الكثيرون إلى الإنترنت للاستفادة من خدمات طباعة الهوية.

وقد أدى هذا الاتجاه إلى قيام الجهات الفاعلة في مجال التهديد بالقفز على العربة من خلال استضافة مواقع ويب مزيفة وانتحال شخصية الشركات الهندية الكبرى التي تدعي أنها تقدم نسخًا ورقية من بطاقات الهوية. لقد وقع العشرات من المواطنين الهنود فريسة لهذا الاحتيال. نظرًا لأن الخسائر الفردية لا تصل إلا إلى بضع مئات من الروبيات، فإن الضحايا وإنفاذ القانون ليسوا في عجلة من أمرهم لتفكيك هذه الحملات. ولكن بالنظر إلى حجم العملية، فإنها تستحق التحقيق الدقيق.

في هذه المدونة، نتعمق في طريقة عمل مجموعة مقرها ولاية أوتار براديش تدير حملة احتيال واسعة النطاق لطباعة بطاقات الهوية تنتحل شخصية العلامات التجارية الهندية الشهيرة للاحتيال على الجمهور الهندي.

مجموعة مقرها UP تدير عمليات احتيال واسعة النطاق لطباعة بطاقات الهوية

كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر كشفت مجموعة تهديد مقرها ولاية أوتار براديش تدير المئات من مواقع طباعة الهوية المزيفة، مع الخصائص المشتركة التالية:

تنتحل النطاقات شخصية العلامات التجارية الهندية الشهيرة بما في ذلك العديد من مزودي الاتصالات والبنوك ومحافظ الدفع وخدمات البريد السريع وما إلى ذلك، بما في ذلك Fino Payments Bank و DTDC و India Post وما إلى ذلك، لتقديم نفسها على أنها شركة مشروعة.
تستخدم مجموعة التهديدات إعلانات Google وصفحات الشبكات الاجتماعية وتقنيات تحسين محركات البحث لتوزيع هذه المجالات وتعميمها.
تقدم مواقع الويب خدمات الطباعة لبطاقات الهوية مثل Aadhaar و PAN ورخصة القيادة وفتح الحساب وما إلى ذلك.
يتم خداع الضحايا لمشاركة معلومات التعريف الشخصية (PII) و OTP على بوابة KYC المدمجة مع قنوات الدفع الشائعة.
يمكن للجهات الفاعلة في مجال التهديد بيع معلومات تحديد الهوية الشخصية أو استخدامها لتنسيق عمليات الاحتيال الأخرى. كما أنهم يستخدمون OTPs للوصول إلى حسابات الضحايا لقفلها وتنفيذ معاملات غير مصرح بها.

ارتفاع عمليات الاحتيال في خدمة الطباعة في الهند

كانت هناك زيادة كبيرة في استخدام Aadhaar مؤخرًا ونما الطلب على المصادقة المستندة إلى Aadhaar بين 2018 و 2021 (تقرير UIDAI السنوي (2020-21). يمكن أن تعزى هذه الزيادة إلى الاستخدام المحسن لـ Aadhaar إلى جانب طرق المصادقة الثنائية الأخرى (2FA). يوضح الرسم البياني أدناه استخدام Aadhaar للمصادقة ويمكن رؤيته وهو يلامس أعلى مستوى على الإطلاق عند 1413.40 كرور معاملة في السنة المالية 2020-21.

Graph depicting the rise in Aadhaar-based authentication in 2017-18 and then again in 2020-21 (Source: UIDAI) — رسم بياني يصور الارتفاع في المصادقة المستندة إلى Aadhaar في 2017-18 ثم مرة أخرى في 2020-21 (المصدر: UIDAI)

تكشف بيانات Whois على النطاقات المسجلة حديثًا عن ارتباط جدير بالملاحظة بين عدد المجالات الضارة المسجلة في 2020-21 والارتفاع في المصادقة المستندة إلى Aadhaar.

Malicious domains registered each year (Source: Whois) — يتم تسجيل النطاقات الضارة كل عام (المصدر: Whois)

تحقيق CloudSek في عمليات الاحتيال المتعلقة بطباعة الهوية

الجيل السادس عشرحدد المسح الروتيني العديد من المجالات المزيفة التي تعلن عن خدمات الطباعة والتصفيح الرخيصة لخداع الأشخاص. كشفت التحقيقات الإضافية عن العديد من مواقع الويب الاحتيالية التي تعلن عن خدمات مماثلة بأرقام دعم عملاء وهمية تتركز في ولاية أوتار براديش الغربية منطقة. كشف فحص شامل للحملة أن هذه المواقع هي جزء من حملة واسعة النطاق تنطوي على الوصول غير المصرح به إلى بوابات KYC للضحايا. تم نشر شكاوى متعددة من قبل ضحايا عمليات الاحتيال هذه على منصات التواصل الاجتماعي المختلفة مثل Twitter و Facebook.

Flowchart representing the outline of the scam — مخطط انسيابي يمثل الخطوط العريضة لعملية الاحتيال

تشريح عملية الاحتيال

جذب الضحايا إلى المجالات الخبيثة

يتم خداع المستخدمين غير المرتابين لزيارة هذه المواقع الضارة إما بطرق مباشرة أو غير مباشرة.

الطريقة المباشرة

هذه طريقة لإرسال رسائل غير مرغوب فيها إلى الضحايا من خلال الرسائل أو رسائل البريد الإلكتروني أو اتصالات وسائل التواصل الاجتماعي التي تحتوي على عناوين URL لمواقع الويب الضارة، إلى جانب الوعد بالشراكة والعوائد المالية. إغراء المال السهل يدفع المستخدم إلى النقر على الرابط وزيارة موقع الويب الضار.

الطريقة غير المباشرة

في هذه الطريقة، يتم توزيع المجالات الضارة باستخدام تقنيات SEO (تحسين محركات البحث) أو منصات الوسائط الاجتماعية الأخرى.

تقنية تحسين محركات البحث

يتم وضع المجالات الضارة بشكل استراتيجي في استعلامات محرك بحث Google باستخدام تقنيات تحسين محركات البحث وتحسينها باستخدام كلمات رئيسية متعددة تتعلق بـ Aadhaar و PAN ومعرف الناخب وما إلى ذلك.
على سبيل المثال، تحتل النطاقات الخبيثة aadharprint [.] in و digitalfastprint [.] in المرتبة الثانية والخامسة على التوالي، بعد موقع الويب الأصلي.
تتم صياغة مثل هذه المواقف العالية من SERP (صفحات نتائج محرك البحث) من خلال استخدام العديد من تقنيات Blackhat SEO مثل إضافة عدد كبير من الروابط الخلفية غير المرغوب فيها.

وسائل التواصل الاجتماعي

يتم توزيع الروابط الضارة على المستخدمين عبر مواقع مثل Facebook و Twitter و YouTube.
كشفت الأبحاث عن العديد من مقاطع الفيديو والقنوات على Youtube مع العديد من المشاهدات. تم تضمين هذه الروابط مع الروابط المرتبطة بهذه المجالات الضارة.

Image depicting Maryam OSINT scan results for roboprints[.]in & digitalfastprint[.]in — صورة تصور نتائج مسح مريم OSINT للحصول على مطبوعات روبوتية [.] في & طباعة رقمية سريعة [.] في

نظرة عامة على الحملة

اكتشف xviGil المئات من عناوين URL، مما أدى إلى نشر الحملة، التي تضمنت 9 نطاقات جذرية مشتركة.
من بين المجالات الجذرية التي تم فحصها، المطبوعات الآلية [.] في و طباعة رقمية سريعة [.] في حصلت على الجزء الأكبر من حركة المرور، 32.7٪ و 22٪ على التوالي.
كانت المجالات البارزة الأخرى طباعة [.] xyz، رابط إلكتروني [.] في، بصمة [.] في، والتي حصلت على 14.3% و 9.5% و 4.8% من حركة المرور على التوالي.

Chart depicting traffic for Root malicious domains — مخطط يوضح حركة المرور للنطاقات الضارة الجذرية

يحتوي كل مجال على نطاقات فرعية متعددة ذات ارتباطات بنطاقات جذرية ضارة أخرى. على سبيل المثال، يحتوي aadharprint [.] in على نطاق فرعي يسمى shivyog [.] aadharprint [.] in، والذي يشبه shivyogprint [.] info، مما يشير إلى أن النطاقات يمكن أن تكون مملوكة لكيان واحد.

Image depicting Subdomains of ‘aadharprint[.]in’ — صورة تصور النطاقات الفرعية لـ «aadharprint [.] in»

يوجد حاليًا ما مجموعه 69 نطاقًا لا يزال يعمل، مع عدد كبير من النطاقات الفرعية غير النشطة، والتي كانت إما نشطة في الماضي أو يمكن استخدامها في المستقبل عند إزالتها.
تتم استضافة غالبية هذه النطاقات على Publicdomainregistry [.] com (12) و godaddy [.] com (17) باستخدام نطاقات TLD مختلفة (نطاق المستوى الأعلى).
11 من النطاقات المستخدمة .in، 10 استخدم .com، 4 استخدم .online، 3 استخدم .info وواحد استخدم .us و.top.
تستخدم المجالات أيضًا حلولًا أمنية مثل Cloudflare و Litespeed WAF.
علمت CloudSek من مصدر سري أن مواقع الويب هذه تستخدم قاعدة بيانات تسمى «adhaar» مع جدول يسمى «DetailOrder_MST» يحتوي على 54,452 إدخالًا، تم جمعها بمرور الوقت.
تحتوي معظم هذه المجالات على شعارات وروابط UIDAI والوكالات الحكومية الأخرى.
كان لدى جزء كبير من مواقع الويب التي تمت ملاحظتها تصميم ضعيف للواجهة الأمامية وأخطاء نحوية.

تحليل مفصل للنطاقات المزيفة المكتشفة

تتمتع النطاقات الضارة التي تم الكشف عنها كجزء من تحقيق CloudSek بالخصائص المشتركة التالية:

أعلنت مواقع الويب عن خدمات مثل:
- خدمات التسجيل لأيوشمان بهارات
- خدمات فتح الحساب لبنوك Kotak و RBL و Indusind و ICICI بسعر 99 روبية هندية.
- خدمات تسجيل PAN و NSDL
- خدمات إعادة شحن المحفظة
- خدمات طباعة دفتر الحسابات
- خدمات Fino و NSDL والبريد الهندي وخدمات المحفظة الأخرى.
- ماسح رمز QR
- خدمات تصفيح بطاقة Aadhaar
تتطلب صفحات التسجيل وتسجيل الدخول أرقام الهواتف ورسائل البريد الإلكتروني كمدخلات.
شعارات المنظمات البارزة مثل بنك فينو للدفع.
شعارات الخدمات الحكومية بما في ذلك أيوشمان بهارات، e-Shram، إلخ.
أرقام خدمة العملاء المزيفة وخدمات دعم واتساب.
شركاء الدفع الشرعيين المدرجين مثل PayU.
تم إدراج بريد الهند و DTDC كشركاء توصيل.
حضور على وسائل التواصل الاجتماعي مع حوالي الآلاف من المتابعين على Facebook.

تحديد المخادعين

أحد عوامل التهديد المرتبطة بعملية الاحتيال هذه هو مالك رقم الهاتف 88659 53003، الذي تم الحصول عليه من أحد مواقع التصيد الاحتيالي، printkaro [.] xyz.
كتب الممثل مراجعة على موقع أمازون ذكر فيها أنه ينتمي إلى نجيب أباد بولاية أوتار براديش. (لمزيد من المعلومات، يرجى الرجوع إلى الملحق)
تنتمي معظم أرقام الهواتف المدرجة في مواقع الاحتيال إلى أفراد في ولاية أوتار براديش الغربية. وبالتالي، يمكن الاستدلال على أن المحتالين يتمركزون في نجيب آباد، أوتار براديش، الهند.

تم الكشف عن أرقام خدمة العملاء المزيفة

هاتفالاسمالبريد الإلكتروني (إن وجد)الموقع 97615 02188أمان كومارن/أوتار براديش الغربية 97615 02191ليزا خانnewprint.in786@gmail.com76185 33517 طبعة جديدة/محمد Faizmohdfaizkassar@gmail.comUttar براديش West9546801090Gungun Mobilen/أبيهار 8340469639 متجر غونغون للهواتف المحمولة باتشروخيا عالم الإنترنت/راهول باتيلrahulkumarpatel2310@gmail.comبيهار 9761502183N/أن/أوتار براديش الغربية9761502184 طباعة البطاقة Officeadmin@printkaro.xyzKolkata 8865953003 الخدمات المصرفية الرقمية الشاملةnewprint9520292330@gmail.comأوتار براديش الغربية 9152500514 راج برن/مومباي 9536878878كندراaadharkendra298@gmail.comبطاقة Aadharالذكية West9760606361Aadhar/ولاية أوتار براديش الغربية01341-297075Washif New Print/ولاية أوتار براديش الغربية

تأثير الاحتيال

تغريدة من عام 2017 حول منصة احتيال يطلق عليها اسم «Maza Aadhaar» استهدفت عملية احتيال «Maza Aadhaar» لعام 2016 المستخدمين بحجة خدمات طباعة البطاقات البلاستيكية من Aadhaar.

يمكن للجهات الفاعلة في مجال التهديد الاستفادة من معلومات تحديد الهوية الشخصية لتنفيذ هجمات الهندسة الاجتماعية الأخرى، وسرقة الهوية، وهجمات التصيد الاحتيالي، وما إلى ذلك.
يمكن استخدام OTPs لتنفيذ معاملات غير مصرح بها على الحسابات المصرفية للضحايا.
يمكن للجهات الفاعلة في مجال التهديد تسجيل بطاقات SIM باسم الضحية واستخدامها في أنشطة غير قانونية.
يمكن استخدام تفاصيل بطاقة Aadhaar وبطاقة PAN لإنشاء حسابات مصرفية مزيفة أو التقدم بطلب للحصول على قروض أو لتنفيذ أنشطة ضارة أخرى.
في الآونة الأخيرة استهداف الاحتيال، وبحسب ما ورد استخدم المحتالون تفاصيل PAN الخاصة بالضحايا للاستفادة من القروض الفورية من خلال طلب القرض.

تدابير التخفيف

تجنب النقر على الروابط المشبوهة.
تأكد من استخدام MFA (المصادقة متعددة العوامل) ولا تشارك OTPs.
أدخل بيانات الهوية الخاصة بك على المواقع الحكومية الرسمية فقط (المواقع ذات الامتدادات.gov). كن حذرًا عند إدخالها على أي مواقع أخرى.
تجاهل رسائل البريد الإلكتروني والرسائل من مصادر غير معروفة، خاصة مع وجود نوع من القيمة النقدية المرفقة. إذا كان ذلك ممكنًا، استخدم حل مكافحة البريد العشوائي لبريدك الإلكتروني ومكافحة الفيروسات على جهازك.
إذا صادفت نطاقًا ضارًا، فابحث عن مسجله على whois.com وأبلغ عن إساءة الاستخدام.