التهديدات الناشئة

ظهور الجرائم الإلكترونية على Telegram و Discord والحاجة إلى المراقبة المستمرة

November 21, 2020

دقيقة

جدول المحتوى

مثال H2

المراسلة الفورية، المعروفة باسم IM أو IM'ing، هي تبادل الرسائل في الوقت الفعلي تقريبًا من خلال تطبيق مستقل أو برنامج مضمن. على عكس غرف الدردشة التي يشارك فيها العديد من المستخدمين في محادثات متعددة ومتداخلة، عادةً ما تتم جلسات المراسلة الفورية بين مستخدمين على انفراد.

تتمثل إحدى الميزات الأساسية للعديد من عملاء المراسلة الفورية في القدرة على معرفة ما إذا كان صديق أو زميل في العمل متصلاً بالإنترنت على الخدمة - وهي إمكانية تُعرف باسم التواجد. ومع تطور التكنولوجيا، أضاف العديد من عملاء المراسلة الفورية دعمًا لتبادل أكثر من مجرد الرسائل النصية، مما يسمح بإجراءات مثل نقل الملفات ومشاركة الصور داخل جلسة المراسلة الفورية.

Popular messaging services — خدمات المراسلة الشائعة

أفضل ثلاثة تطبيقات مراسلة من خلال عدد المستخدمين هم WhatsApp - 2 مليار مستخدم، Facebook Messenger - 1.3 مليار مستخدم، و WeChat عند 1.12 مليار مستخدم. Messenger هو أفضل تطبيق مراسلة في الولايات المتحدة. في عام 2017، تم إجراء ما يقرب من 260 مليون محادثة جديدة كل يوم على التطبيق. في المجموع، كانت هناك 7 مليارات محادثة تحدث يوميًا.

Most widely used messaging apps — تطبيقات المراسلة الأكثر استخدامًا

تكمن قوة منصات التواصل الاجتماعي في قدرتها على ربط المستخدمين وإنشاء طرق فريدة للتفاعل. بالنسبة للأفراد والشركات والحكومات، فإنها تسهل طرقًا جديدة للوصول إلى جمهورهم والترويج للمنتج وتعزيز المجتمعات.

الحضور المتزايد لمجرمي الإنترنت على منصات التواصل الاجتماعي

إن الجاذبية العالمية لمنصات التواصل الاجتماعي تجعلها جذابة بنفس القدر لمجرمي الإنترنت. ومع ذلك، لا يزال النطاق المتزايد للمخاطر الجنائية التي تتم مواجهتها عبر وسائل التواصل الاجتماعي قيد البحث بشكل كبير.

يبدو أن مجرمي الإنترنت لا يختلفون كثيرًا عن المستهلكين ومستخدمي المؤسسات - فهم يريدون أدوات سهلة الاستخدام ومتاحة على نطاق واسع. إنهم يفضلون الخدمات البسيطة، والتي تحتوي على واجهة مستخدم رسومية نظيفة، وسهلة الاستخدام، ولا تحتوي على أخطاء. يُحدث التعريب ودعم اللغة فرقًا أيضًا. يتوخى مجرمو الإنترنت الحذر الشديد بشأن الأشخاص الذين يسمحون لهم بالدخول إلى ناديهم الحصري، لكنهم أيضًا لا يريدون تكبّد المشقة المفرطة (والمكلفة) للتواصل مع بعضهم البعض.

صعود تيليجرام وديسكورد

نقطة القلق الشديد هي أن العديد من مجموعات Telegram و Discord يتم استخدامها من قبل مجرمي الإنترنت للقيام بأنشطة غير قانونية مثل بيع الثغرات وشبكات الروبوت، وتقديم خدمات القرصنة، والإعلان عن البيانات المسروقة.

السيف ذو الحدين لتشفير Telegram من طرف إلى طرف

لقد مهد التشفير الشامل الذي توفره Telegram الطريق لمجموعة من الأنشطة غير القانونية، مما حول الخصوصية المرغوبة عبر الإنترنت إلى أرض خصبة للجريمة. تدعي Telegram أنها أكثر أمانًا من برامج المراسلة في السوق الشامل مثل WhatsApp و Line. فهو يسمح، من بين أمور أخرى، بإعادة التوجيه المجهول، مما يعني أن الرسائل المعاد توجيهها لن تعود إلى حسابك. يمكنك أيضًا إلغاء إرسال الرسائل وحذف الدردشات بأكملها ليس فقط من هاتفك الخاص، ولكن أيضًا من هاتف الشخص الآخر، بالإضافة إلى أنه يسمح لك بإعداد أسماء المستخدمين التي يمكنك من خلالها التحدث إلى مستخدمي Telegram دون الكشف عن رقم هاتفك. هاتان الميزتان تميزه عن WhatsApp.

خيار الدردشة السرية في Telegram

تستخدم ميزة الدردشات السرية في Telegram التشفير من طرف إلى طرف، مما يعني أنها لا تترك أي أثر على الخوادم، وتدعم رسائل التدمير الذاتي، ولا تسمح بإعادة التوجيه. يتم أيضًا تشفير المكالمات الصوتية من طرف إلى طرف. حتى أنه يسمح بإعداد الروبوتات لمهام محددة. نظرًا لمجموعة الميزات الغنية والاعتماد السريع، أصبحت Telegram أداة مطلوبة في مسرح الاحتيال. وفقًا لموقع Telegram الإلكتروني، يتيح التطبيق للمستخدمين إنشاء مجموعات خاصة تحتوي على ما يصل إلى 200,000 عضو بالإضافة إلى القنوات العامة التي يمكن الوصول إليها من قبل أي شخص لديه التطبيق.

The double edged sword of Telegram — سيف تيليجرام ذو الحدين

ذكرت Telegram في أبريل 2020 أنها تسجل 1.5 مليون مستخدم جديد يوميًا. وأضاف أنه كان التطبيق الاجتماعي الأكثر تنزيلًا في 20 سوقًا على مستوى العالم. تم اعتماد المنصة على نطاق واسع عالميًا وهي متوفرة بـ 13 لغة.

كيف تستغل الجهات الفاعلة في مجال التهديدات Telegram

حتى وقت قريب، استخدم المحتالون بشكل أساسي مجموعات وقنوات Telegram لتنظيم مجتمعاتهم. يمكن وصف المجموعات على أفضل وجه بأنها غرف دردشة حيث يمكن لجميع الأعضاء القراءة والتعليق والنشر. هذا هو المكان الذي يقوم فيه المحتالون بالإعلان والاتصال ومشاركة المعرفة والمعلومات المخترقة، على غرار منتديات الويب المظلمة. القنوات، من ناحية أخرى، هي مجموعات لا يُسمح فيها إلا للمسؤول بالنشر ويمكن للأعضاء العاديين الوصول إلى المشاهدة، على غرار المدونات. يستخدم المحتالون بشكل أساسي قنوات Telegram للإعلان عن خدمات ومنتجات الاحتيال بكميات كبيرة. بهذه الطريقة، تعمل Telegram بمثابة «شبكة ويب مظلمة» للشركات المشبوهة.

Examples of a Telegram channel being used as ‘Dark web lite” — أمثلة على قناة Telegram التي يتم استخدامها كـ «Dark web lite»

اكتشاف الاستغلال ليس في حد ذاته غير قانوني. في الواقع، غالبًا ما تتم مكافأتها من قبل شركات البرمجيات أو الشركات ذات الصلة التي قد تتأثر. ولكن إذا تم بيع استغلال، مع العلم أنه سيتم استخدامه لارتكاب جريمة، فهناك احتمال توجيه الاتهام إليه كشريك. لقد ولّد الغموض القانوني اقتصادًا رماديًا آخر في تجارة الاستغلال. تم العثور على العديد من المواقع على منصات التواصل الاجتماعي التي تبيع الثغرات بشكل علني، بما في ذلك حسابات مثل قاعدة بيانات Injector places و Expoit Packs.

Telegram channels selling exploits and — قنوات تيليجرام التي تبيع الثغرات

تعد قواعد البيانات غير المحمية أحد الأسباب الرئيسية لارتفاع سجلات المستخدمين المكشوفة. تشير التقارير إلى أن البيانات المنشورة من قبل المتسللين تحتوي على قواعد بيانات أصلية يمكن أن تؤدي إلى مخاوف جدية للأفراد والمنظمات المتضررة. بعد خرق البيانات الذي تم الكشف عنه، يمكن للجهات الفاعلة المحتملة أن تناقش عبر قنوات التلغرام ومنتديات القرصنة. يمكن للمهاجم أيضًا استخدام البيانات لجمع معلومات حساسة وتسهيل المزيد من الهجمات.

Threat actors trading information and databases via Telegram — الجهات الفاعلة في مجال التهديد تتداول المعلومات وقواعد البيانات عبر Telegram

قدمت حوالي 30-40٪ من مواقع التواصل الاجتماعي التي تم تفتيشها شكلاً من أشكال خدمة القرصنة. في كثير من الأحيان كان هناك تركيز على خدمات القرصنة «الأخلاقية»، على الرغم من عدم وجود طرق واضحة لتأكيد ذلك. تقدم هذه المجموعات أدوات لاختراق مواقع الويب والمتسللين للتأجير ودروس القرصنة. يقدم مجرمو الإنترنت في الواقع كل ما هو ضروري لترتيب عملية احتيال أو لشن هجوم شخصي. عادةً ما تكون العروض محددة جدًا وتتضمن تعليمات برمجية ضارة وبرامج يمكن أن تساعد في الوصول إلى الحسابات الشخصية.

Hacking services being advertised and solicited on Telegram — يتم الإعلان عن خدمات القرصنة والتماس استخدامها على Telegram

Discord هو الآن المكان الذي يتسكع فيه العالم

Discord عبارة عن منصة مراسلة في الوقت الفعلي تصف نفسها بأنها «دردشة صوتية ونصية شاملة للاعبين»، نظرًا لواجهتها الرائعة وسهولة الاستخدام والميزات الشاملة. جعلت المنصة من السهل التواصل مع الأصدقاء وإنشاء المجتمعات والحفاظ عليها عبر النص والصوت والفيديو.

يتيح التطبيق للمستخدمين إعداد خوادمهم الخاصة حيث يمكنهم الدردشة مع أصدقائهم أو مع الآخرين الذين يشاركونهم اهتماماتهم. تم إنشاء Discord في الأصل للاعبين للتعاون والتواصل، ولكن تم اعتماده الآن على نطاق واسع من قبل مجموعات ومجتمعات أخرى تتراوح من نوادي التنزه المحلية إلى المجتمعات الفنية ومجموعات الدراسة.

The rising popularity of Discord as a communication channel — الشعبية المتزايدة لـ Discord كقناة اتصال

حصل Discord على 100 مليون مستخدم نشط شهريًا، و 13.5 مليون خادم نشط أسبوعيًا، و 4 مليارات خادم مع أشخاص يتحدثون لأكثر من 4 ساعات يوميًا. Discord هو الآن المكان الذي يتحدث فيه العالم ويتسكع ويبني علاقات مع مجتمعاتهم وأصدقائهم. هناك خوادم تم إعدادها لتعمل كنوادي الكتب عبر الإنترنت، ومجموعات المعجبين للبرامج التلفزيونية أو البودكاست، والمناقشات العلمية، على سبيل المثال لا الحصر. كل هذا يبدو غير ضار، ولكن هل لدى Discord جانب مظلم؟ نعم، هناك خوادم تروج للأنشطة غير القانونية باستخدام المنصة.

A convenient way to create and sustain communities and friendships — طريقة ملائمة لإنشاء المجتمعات والصداقات والحفاظ عليها

كيف يستفيد مجرمو الإنترنت من Discord

نظرًا لكونها خدمة مشفرة، تستضيف Discord العديد من قنوات الدردشة التي تروج للممارسات غير المشروعة. إلى جانب محادثات الألعاب الواضحة، يتم استغلال Discord للقيام بأنشطة شائنة أخرى، مثل بيع بطاقات الائتمان والولاء، والمخدرات، وموارد القراصنة، وخدمات جمع المعلومات. يتعلق جزء كبير من الشعبية بالاتصالات الآمنة والمشفرة من نظير إلى نظير المتاحة على المنصة، مما يسمح للمجرمين بالتعامل بشكل مفتوح مع تجنب التدقيق من قبل سلطات إنفاذ القانون.

هل Discord هو الويب المظلم الجديد؟

تعمل الأسواق غير المشروعة على Discord كثيرًا مثل أسواق الويب المظلمة «التقليدية» على TOR. أولاً، يجب على المشتري تحديد موقع البائع والانضمام إلى شبكته والدفع بعملة البيتكوين. تعد نقاط الائتمان والولاء من أكثر السلع شيوعًا في أسواق Discord. بعض هذه الأسواق، بعد أن تم طردها من TOR من قبل سلطات إنفاذ القانون، نقلت خدماتها إلى Discord.

غالبًا ما تتضمن بيانات بطاقة الائتمان المسروقة، عند بيعها على Discord أو عبر مواقع الويب المظلمة الأخرى، معلومات تعريفية أخرى مثل الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف والعناوين الفعلية وكلمات المرور. يمكن استخدام هذه البطاقات لإجراء عمليات شراء عبر الإنترنت وفي وضع عدم الاتصال، أو لشراء بطاقات هدايا لا يمكن تعقبها. يمكن شراء نقاط الولاء، وهي عنصر آخر شائع جدًا على Discord، مقابل بضعة دولارات فقط (مدفوعة بعملة البيتكوين) ويمكن استبدالها نقدًا أو بالسلع وبطاقات الهدايا.

Discord being used to sell credit cards — يتم استخدام Discord لبيع بطاقات الائتمان

إلى جانب شراء بطاقات الائتمان ونقاط الولاء، وجدت بعض أدوات القرصنة القوية طريقها إلى Discord، مما يجعل من الممكن للمشترين اختراق الحسابات مباشرة. أحد الأمثلة البارزة هو OpenBullet، الذي تم إصداره على منصة كود GitHub من Microsoft. تم تصميمه في الأصل كأداة اختبار لمحترفي الأمن، وقد تم تعديله من قبل المتسللين وانتشر بسرعة. إنه سهل الاستخدام والتهيئة والنشر، ويساعد مالك الخادم على إعداد خدمات DDOS وطرق التمشيط ومبيعات البرامج الضارة.

DDos botnets being sold on Discord — يتم بيع روبوتات DDoS على Discord

من السهل مراقبة مواقع الويب اللاصقة مثل Pastebin لأننا نعرف بنية مواقع الويب؛ ما نوع البيانات التي يتم لصقها، وما إلى ذلك، لكن مراقبة المناقشات على Discord، رغم أنها ليست بهذه البساطة، أمر بالغ الأهمية للمؤسسات. والوقت هو الجوهر عندما يتعلق الأمر باكتشاف المؤسسات وتنبيهها إلى المعلومات التي يتم تبادلها أو مناقشتها، والتي تتعلق ببياناتها وأصولها.

Cybercriminals using Discord to communicate and exchange data and services — مجرمو الإنترنت يستخدمون Discord للتواصل وتبادل البيانات والخدمات

يميل مجرمو الإنترنت أيضًا إلى استخدام هذه المنصات لمشاركة الأخبار وتبادل الثغرات الأمنية واستغلال المعلومات والاستشهاد بالأعمال البحثية من داخل مجتمع الأمن السيبراني.

Exploits for sale on Discord — عمليات استغلال الثغرات للبيع على Discord

الحاجة إلى المراقبة المستمرة

هذه مجرد بداية لمجرمي الإنترنت الذين يستخدمون منصات المراسلة الفورية لتعزيز أعمالهم. ومع تزايد شعبية تطبيقات المراسلة المشفرة، يمكننا أن نتوقع ازدهار الأنشطة غير القانونية على هذه المنصات. نظرًا لوقت الاستجابة السريع لمنصات المراسلة الفورية، على عكس المنتديات التي ينشر فيها المجرمون أولاً احتياجاتهم/خدماتهم ثم يضطرون إلى انتظار الرد، فإن الأمر مجرد مسألة وقت قبل أن يقوم مجرمو الإنترنت بتحويل معاملاتهم إلى هذه المنصات. وتسمح أدوات مثل روبوتات المحادثة بالردود الآلية والإعلانات، مما يساعد الجهات الفاعلة في مجال التهديد على تحقيق المزيد في وقت أقل.

وهذا هو السبب في أن المراقبة في الوقت الفعلي لأسواق الويب المظلمة وقنوات Telegram وخوادم Discord لم تعد رفاهية ولكنها مطلب أساسي للمؤسسات لتأمين بياناتها وأصولها. وهذا هو المكان الذي تمتلك فيه منصة CloudSek لمراقبة المخاطر الرقمية الجيل السادس عشر يمكن أن تساعدك على البقاء في صدارة مجرمي الإنترنت ومخططاتهم المتطورة بشكل متزايد. xviGil يجوب الإنترنت، بما في ذلك مواقع الويب السطحية وأسواق الويب المظلمة ومنصات المراسلة مثل Telegram و Discord. يكتشف الإشارات والتبادلات الضارة المتعلقة بالأصول الرقمية لمؤسستك ويوفر لك تنبيهات في الوقت الفعلي. مما يمنحك الوقت الكافي لاتخاذ تدابير استباقية لمنع الانتهاكات والهجمات المكلفة.