صعود روبوتات OTP ومرسلي الرسائل القصيرة في ترسانة الجهات الفاعلة في مجال التهديد

المؤلفون: شريا تالوكدار و بابلو كومار

في عالم الأمن السيبراني المتطور باستمرار، تمثل الزيادة في روبوتات OTP ومرسلي الرسائل القصيرة التي تستخدمها الجهات الفاعلة في مجال التهديد تحديًا مستمرًا يتطلب اهتمامنا. يقوم مجرمو الإنترنت بشكل متزايد بدمج تقنيات الصيد مع خدمات OTP grabber لتضخيم أنشطتهم الضارة. يتضمن التصيد الاحتيالي، أو التصيد الصوتي، التلاعب بالأفراد لإفشاء معلومات حساسة عبر الهاتف. تضيف اللمسة الإنسانية في الصيد عنصرًا مقنعًا لهذه الهجمات، مما يجعل الضحايا أكثر عرضة للثقة في المتصل. فهي تستخدم أنظمة استجابة صوتية تفاعلية متطورة (IVR)، وتسجيلات صوتية أصلية لأفراد حقيقيين، أو حتى تستخدم طرق الاتصال في الوقت الفعلي التي يبدو أنها تنشأ بشكل مقنع من شركة موثوقة. من خلال هذه التكتيكات، يتم التلاعب بالمستخدمين بمهارة للكشف عن كلمات المرور الخاصة بهم لمرة واحدة، والتي يتم تسليمها عادةً عبر الرسائل النصية.

لا يمكن المبالغة في أهمية OTPs في مجال الأمان عبر الإنترنت. تعتمد العديد من الخدمات عبر الإنترنت، بما في ذلك المؤسسات المالية، بشكل كبير على OTPs كحارس نهائي للتحقق. في بعض السيناريوهات، تعتبر كلمة المرور لمرة واحدة أو OTP البوابة الوحيدة للوصول إلى حساب الشخص. هذا الاعتماد بالذات يجعل هذه الخدمات هدفًا جذابًا لأولئك الذين يستخدمون خدمات OTP bot.

‍

في الماضي، رأينا خدمات مماثلة مثل لصوص الرسائل القصيرة ويتم تقديم SMS Ranger على المنتديات السرية وقنوات Telegram.

لصوص الرسائل القصيرة ظهرت كخدمة عبر الإنترنت دبرها ممثل تهديد يبلغ من العمر 20 عامًا، بهدف تنظيم حملات تصيد واسعة النطاق من خلال الرسائل النصية عبر الهاتف المحمول. تم إخفاء رسائل التصيد الاحتيالي ببراعة في هيئة كيانات مختلفة، بما في ذلك مبادرات الإغاثة من الأوبئة، و PayPal، وعمالقة الاتصالات، ووكالات الإيرادات الضريبية الحكومية. تم ربط الخدمة بخدمة OTP grabber أخرى تسمى أفضل وكالة [.] مصممة للمساعدة في اعتراض كلمات المرور لمرة واحدة اللازمة لتسجيل الدخول إلى مواقع الويب المختلفة. بمجرد إجراء المكالمة، تقوم المكالمة الهاتفية بتشغيل الهدف لإدخال كلمة مرور لمرة واحدة، تم إنشاؤها بواسطة تطبيق الهاتف المحمول الخاص بهم، في النظام. يتم بعد ذلك إرسال كلمة المرور هذه سراً إلى لوحة المستخدم المخادع المستضافة على موقع OTP Agency على الويب.

لتسليط الضوء على استخدام التكتيكات الراسخة مثل الصيد كنقطة أولية للهجوم ولتوضيح كيف يمكن تسخير هذه التقنيات لأغراض خبيثة، واجهنا مؤخرًا هجومًا إلكترونيًا على منتجعات إم جي إم في 14 سبتمبر 2023. يُنسب هذا الحادث إلى Scampated Spider، وهي مجموعة معروفة بخبرتها في الهندسة الاجتماعية. وباستخدام التصيد الاحتيالي كطريقة من اختيارهم، نجح مجرمو الإنترنت في الحصول على بيانات اعتماد الموظفين، وتأمين امتيازات المسؤول العالمية داخل Azure Tenant، وسحب البيانات، ثم احتجزوا لاحقًا العديد من برامج مراقبة الأجهزة الافتراضية لـ ESXi كرهائن مقابل فدية. تمت إضافة المزيد من التفاصيل حول هذا أدناه.

واحدة من أحدث هذه العروض هي خدمة تعرف باسم «Spoofmyass.com» - وهي متجر شامل لعمليات الاحتيال المتعلقة بالرسائل القصيرة من البداية إلى النهاية. يتم تقديم الخدمة بعبارات جريئة مثل:

• القدرة على إجراء مكالمات في جميع أنحاء العالم بأكثر من 30 لغة.
• انطق اسم الضحية وتفاصيل الخدمة والمزيد.
• القدرة على إجراء مكالمات مجهولة
• خدمة إنشاء قوالب البوت المجانية بمساعدة كود لغة ترميز تركيب الكلام (SSML) لمزيد من التخصيص في الاستجابات الصوتية.

تفترض هذه الخدمة (وجميع الخدمات الأخرى المذكورة في هذا المنشور) أن ممثل التهديد لديه بالفعل بيانات اعتماد تسجيل الدخول للهدف من خلال وسائل مختلفة.

يعمل SpoofMyAss على تمكين مجرمي الإنترنت من خلال إمكانات الصيد المتقدمة

يوفر SpoofMyAss تصعيدًا لروبوتات OTP ويمكن لمرسلي الرسائل القصيرة مساعدة مجرمي الإنترنت بشكل كبير في تنظيم هجمات التصيد الاحتيالي واسعة النطاق (التصيد الصوتي). فيما يلي الميزات التي يوفرها SpoofMyAss والتي تشير إلى أداء هجمات الصيد بقوة:

• استخراج OTP: الغرض الأساسي من خدمة الصيد هذه هو استخراج OTP من الضحايا. يمكن أن يستخدم Vishers أساليب مختلفة، مثل انتحال شخصية الكيانات الشرعية أو إنشاء سيناريوهات عاجلة، لخداع الضحايا للكشف عن كلمات المرور الخاصة بهم لمرة واحدة.

• مكالمات عالمية بلغات متعددة: يمكن للجهات الفاعلة في مجال التهديد استخدام هذه الخدمة لإجراء مكالمات للضحايا المحتملين في جميع أنحاء العالم، باستخدام لغة تشعر الضحية بالراحة معها أو تتوقعها.

• إضفاء الطابع الشخصي: تضيف القدرة على نطق اسم الضحية وتفاصيل الخدمة لمسة إنسانية مقنعة لمكالمة الصيد. يمكن للجهات الفاعلة في مجال التهديد استخدام هذه الميزة لجعل المكالمة تبدو أكثر شرعية وجدارة بالثقة.

• مكالمات مجهولة: يمكن للجهات الفاعلة في مجال التهديد إجراء مكالمات مجهولة وإخفاء هوياتها ومواقعها الحقيقية. يمكن أن يجعل إخفاء الهوية هذا من الصعب على الضحايا تتبع مصدر المكالمة، مما يزيد من احتمالية الصيد الناجح.

• إنشاء قالب البوت: من خلال إنشاء روبوتات باستخدام كود SSML، يمكن للصيّادين تخصيص الاستجابات الصوتية لتناسب سيناريوهات الصيد الخاصة بهم. يسمح هذا التخصيص بنهج أكثر واقعية واستهدافًا عند محاولة خداع الضحايا.

باستخدام ميزات الخدمة الرئيسية الثلاث هذه، يمكن للصيادين أيضًا صياغة مكالمات صيد مقنعة للغاية:

• SMA سريع: يمكن لـ Vishers إنشاء مكالمات صيد بسرعة باستخدام قوالب مخصصة. على سبيل المثال، يمكنهم الاتصال بالضحية واستخدام اسمه والادعاء بأنهم من منظمة ذات سمعة طيبة مثل البنك، وإقناع الضحية بتقديم OTP الخاص بهم.

• بث SMA: يمكن للصيّادين تحسين أصالة مكالمات الصيد باستخدام التسجيلات الصوتية الخاصة بهم، مما يجعل المكالمة تبدو أكثر شرعية وجدارة بالثقة.

• نقل الرسائل القصيرة: تسمح هذه الخدمة بإجراء مكالمات مجهولة باستخدام معرفات المتصل التي تم التلاعب بها وخيارات إعادة توجيه المكالمات. يمكن لـ Vishers انتحال شخصية الكيانات الموثوقة والتلاعب بتوجيه المكالمات والحفاظ على إخفاء الهوية طوال المكالمة وجعل من الصعب على الضحايا تتبع المصدر.

‍

‍

‍

‍

‍

‍

‍

الخدمات التي تقدمها SpoofMyAss:

تسجيل المستخدم مجاني على البوابة. بالإضافة إلى ذلك، فإنه يوفر أيضًا 1 دولار أمريكي كرصيد ترحيبي في حساب المستخدم - وهي دعوة جذابة لاستكشاف العروض المتنوعة للمنصة.

تتكون الخدمة بشكل أساسي من خدمتين فرعيتين رئيسيتين:

• OTP بوت سبوفر
• مرسل الرسائل القصيرة

OTP بوت سبوفر

‍

وفقًا للإعلان، تعد OTP Spoofer خدمة مكالمات آلية يمكن استخدامها للحصول على OTP بأي طول. يمتلك الروبوت القدرة على تسهيل المكالمات العالمية وجلب العديد من OTPs والتواصل بسلاسة بأكثر من 30 لغة.

يتم تقديم الخدمة في 3 فئات:

• SMA سريع
• بث SMA
• نقل SMA (من المحتمل أن يكون خطأ مطبعي من قبل المطور)

‍

SMA سريع

الخدمة الأولى هي SMA سريع وهو، وفقًا للإعلان، سريع وسهل الاستخدام بمساعدة قوالب SSML المصنوعة خصيصًا أو المعدة مسبقًا مما يعني أنه يمكن تطويره لينطق باسم الضحية وتفاصيل الخدمة، مما يضيف لمسة شخصية إلى وظائفه.

بعد بدء المكالمة وخداع المستخدم للكشف عن OTP الخاص به، تصبح مرئية على شاشة المهاجم بالطريقة التالية.

بث SMA

توفر الخدمة الثانية للجهات الفاعلة في مجال التهديد القدرة على استخدام التسجيلات الصوتية الخاصة بهم، والتي يمكنهم تخزينها بتنسيقات MP3 أو WAV. عند استخدام هذه الملفات الصوتية، فإنها تعزز بشكل كبير الأصالة العامة للمكالمات. تعزز هذه الأصالة المتزايدة بشكل كبير من احتمالية إغراء المستخدمين لمشاركة كلمات المرور لمرة واحدة (OTPs) أثناء المكالمة.

‍

نقل الرسائل القصيرة

تسمح الخدمة النهائية لأي شخص بإجراء مكالمات مجهولة باستخدام معرفات المتصل التي تم التلاعب بها وخيارات إعادة توجيه المكالمات، مما يوفر للجهات الفاعلة في مجال التهديد فرصًا لانتحال الهوية والمكالمات الاحتيالية وحملات التصيد الاحتيالي واسعة النطاق. بالنسبة لـ Transfere SMA، عندما ترد الضحية على المكالمة، يقوم النظام بتوصيلها برقم هاتف من اختيار ممثل التهديد الذي تم تحديده على اللوحة. تؤدي هذه الوظيفة إلى إجراء مكالمات مجهولة. إذا تطابق بلد الضحية مع أحد أرقام الدولة المعينة المتاحة على اللوحة، فسيتم توجيه المكالمة وفقًا لذلك. بخلاف ذلك، سيظهر كرقم أمريكي. يبدأ النظام مكالمة للضحية، ويطالبها بالرد وسماع رسالة «انتظر من فضلك». في نفس الوقت، يبدأ النظام في إجراء مكالمة إلى ممثل التهديد (TA). عند الرد على المكالمة، ستشارك TA في محادثة مع الضحية. يتدفق الاتصال من الضحية من خلال خدمة Spoofmyass ثم إلى TA. الأهم من ذلك، أن الضحية لا ترى سوى الرقم المرتبط بالخدمة، مع الحفاظ على إخفاء الهوية والسرية طوال المكالمة.

يمكن للجهات الفاعلة في مجال التهديد أن تتظاهر بأنها كيانات موثوقة، مثل البنوك، لخداع الضحايا للكشف عن معلومات حساسة، ويمكنها استخدام معرفات المتصل المزيفة لخداع المستلمين لمشاركة البيانات الشخصية أو زيارة مواقع الويب المزيفة، مما يؤدي في النهاية إلى سرقة البيانات وزيادة المخاطر الأمنية.

‍

‍

تقشير الستار: أمثلة من العالم الحقيقي عن كيفية استفادة الجهات الفاعلة في مجال التهديد من «SpoofMyAss» لعمليات الاحتيال عبر الرسائل القصيرة والصيد

رؤى من حادثة منتجعات MGM

في 14 سبتمبر 2023، وبحسب ما ورد تعرضت MGM Resorts لهجوم إلكتروني مما يتسبب في عدم اتصال أنظمة متعددة. يعتقد ذلك العنكبوت المتناثر، الذي متخصص في الهندسة الاجتماعية، وهو المسؤول عن الاختراق. قام المجرم الإلكتروني، بعد جمع معلومات الموظفين من وسائل التواصل الاجتماعي، على الأرجح LinkedIn، بانتحال شخصية مكتب مساعدة تكنولوجيا المعلومات في MGM Resorts. باستخدام تقنيات الصيد، يمكن لمجرمي الإنترنت جمع أوراق الاعتماد. يُزعم أن الجهات الفاعلة في مجال التهديد تمكنت من الوصول إلى امتيازات الإدارة العالمية لـ Azure Tenant وأجرت عملية استخراج البيانات وأغلقت لاحقًا أكثر من المئات من برامج مراقبة ESXi الافتراضية للحصول على فدية.

لقد لاحظنا أن الجهات الفاعلة في مجال التهديد تعتمد بشكل متكرر على تقنيات راسخة عند إجراء الهجمات الإلكترونية. وبالتالي، يمكن اعتماد هذه الأساليب المجربة والصحيحة من قبل الجهات الفاعلة الأقل تعقيدًا وتقليدًا في مجال التهديد، غالبًا بمساعدة خدمات مثل SpoofMyAss.

Okta عبارة عن منصة لإدارة الهوية والوصول (IAM) قائمة على السحابة توفر للشركات والمؤسسات طريقة آمنة ومركزية لإدارة هويات المستخدمين والوصول إلى التطبيقات والخدمات المختلفة.

‍

تكتيك الصيد في العمل

احتيال الصيد المصرفي

في عملية احتيال مصرفية، غالبًا ما يتظاهر الفاعلون بالتهديد كممثلين للبنوك أو مسؤولين. عادةً ما يستخدمون التكتيكات التالية:

• انتحال هوية المتصل: قد يستخدم الفيشر خدمات مثل «spoofmyass» للتلاعب بمعرف المتصل الخاص به لجعله يبدو كما لو كانت المكالمة قادمة من بنك الضحية.

• حالة عاجلة: يخلق الفيشر إحساسًا بالإلحاح، مدعيًا وجود مشكلة أمنية في حساب الضحية أو المعاملات غير المصرح بها. إنهم يصرون على ضرورة اتخاذ إجراءات فورية.

• طلب التحقق: لكسب ثقة الضحية، قد يطلب الطبيب من الضحية التحقق من هويتها من خلال تقديم معلومات شخصية مثل الاسم الكامل أو تاريخ الميلاد أو حتى كلمة المرور لمرة واحدة (OTP).

• استخراج OTP: إذا تم خداع الضحية لمشاركة كلمة المرور الخاصة به، فسيتمكن الفيشر من الوصول إلى حساب الضحية ويمكنه إجراء معاملات غير مصرح بها

احتيال الدعم الفني لصيد الأسماك

في عمليات الاحتيال المتعلقة بالدعم الفني، غالبًا ما يستهدف المهاجمون الأفراد الذين يدعون وجود مشكلات فنية على أجهزة الكمبيوتر أو الأجهزة الخاصة بهم:

• انتحال شخصية: يتظاهر الفيشر بأنه وكيل دعم فني من شركة معروفة (مثل Microsoft أو Apple) ويبلغ الضحية بمشكلة خطيرة في جهاز الكمبيوتر الخاص به.

• طلب الوصول البعيد: لحل المشكلة المزعومة، يطلب الفاشر من الضحية منحهم إمكانية الوصول عن بُعد إلى أجهزتهم. يتم ذلك عادةً باستخدام برامج مثل TeamViewer.

• طلب الدفع: بعد الوصول إلى كمبيوتر الضحية، قد يدعي الفيشر أن هناك رسومًا مقابل الخدمة أو أنه يحتاج إلى الوصول إلى الخدمات المصرفية عبر الإنترنت للضحية لمعالجة استرداد الأموال.

• الاحتيال المالي: قد يتلاعب الفيشر بالضحية لتسديد المدفوعات أو تحويل الأموال، مما يؤدي إلى خسارة مالية للضحية.

احتيال اليانصيب عبر الرسائل القصيرة

في عملية الاحتيال هذه عبر الرسائل القصيرة، يتلقى الضحايا رسالة نصية تدعي أنهم ربحوا مبلغًا كبيرًا من المال في اليانصيب. يبدو أن الرسالة من منظمة يانصيب معروفة. تحتوي الرسالة عادةً على رابط أو رقم هاتف للمطالبة بالجائزة. يمكن للجهات الفاعلة في مجال التهديد استخدام خدمات مثل «spoofmyass» لإرسال رسائل SMS هذه بمعرفات اتصال مقنعة.

• رسالة خادعة: يتلقى الضحايا رسالة تفيد بأنهم فازوا باليانصيب، مما يثير الإثارة والفضول.

• تعليمات المطالبة: توفر الرسالة تعليمات حول كيفية المطالبة بالجائزة، والتي قد تشمل الاتصال برقم معين أو زيارة موقع ويب.

• طلب معلومات شخصية: عند الاتصال، يُطلب من الضحايا تقديم معلومات شخصية، وفي بعض الحالات، دفع دفعة مقدمة للضرائب أو الرسوم للإفراج عن الجائزة.

انتحال شخصية شركة المرافق عبر Vishing

في سيناريو الصيد هذا، تنتحل الجهات الفاعلة في مجال التهديد شخصية شركة مرافق، مثل مزود الكهرباء أو الغاز. غالبًا ما يستهدفون الشركات أو الأفراد بالتكتيكات التالية:

• التلاعب بمعرف المتصل: باستخدام خدمات مثل «spoofmyass»، يجعل الفاشر المكالمة تبدو كما لو كانت قادمة من شركة المرافق الشرعية.

• التهديد بتعطيل الخدمة: يدعي الفيشر أن هناك مشكلة في حساب الضحية أو فاتورة غير مدفوعة تحتاج إلى اهتمام فوري لتجنب انقطاع الخدمة.

• طلب الدفع: لحل المشكلة، يطلب الزائر من الضحية إجراء الدفع عبر الهاتف باستخدام بطاقة ائتمان أو مشاركة معلومات مصرفية حساسة.

‍

بوابة الرسائل القصيرة

تدعي هذه الخدمة حاليًا أنها تستخدم 269 بوابة SMS شرعية لإرسال رسائل نصية إلى المستخدمين غير المرتابين في مناطق متنوعة في جميع أنحاء العالم. من بين هذه البوابات، هناك 87 بوابة رسائل نصية مقرها الولايات المتحدة و 13 بوابة رسائل نصية مقرها الهند. على سبيل المثال:

• موفيل.tricom.net
• digitextjm.com
• claro.net.do
• vtexto.com
• مل.بم

‍

مُنشئ القالب

القالب هو رمز SSML الذي سيقرأه روبوت SMA بصوت عالٍ عندما يمرر المهاجم مكالمة للحصول على رمز OTP. يمكن تخصيص لغة الروبوت وأسلوب التحدث الخاص به وبعد ذلك يمكن إجراء اختبار الصوت لضمان نوع الصوت. يمكن تحرير الكود لتضمين معلومات ديناميكية. على سبيل المثال، لمخاطبة المتصل بالاسم # #cname ## يتم استخدامه ولذكر اسم البنك # #service ## يمكن استخدامها. يسمح هذا للبوت بتخصيص الرسالة التي يريدها المهاجم. خيارات مثل معدل التحدث ونوع الملعب ووقت الاستراحة قابلة للتخصيص أيضًا. يمكن تشغيل القالب أو تحريره أو حذفه وفقًا لمتطلبات ممثل التهديد.

‍

وبالمثل، يمكن إنشاء نموذج آخر بعد إدخال الضحية إلى OTP كرسالة ختامية لتبدو أكثر شرعية.

‍

أدوات

هناك 4 خدمات يتم تقديمها داخل قسم الأدوات

• المولد
• مدقّق
• كاشف
• فلتر الرسائل القصيرة

‍

‍

مولد الأرقام

توفر ميزة مولد الأرقام القدرة على إنتاج أرقام الهواتف بكفاءة بكميات كبيرة، مع خيار تحديد الكمية المطلوبة وحتى تحديد البلد المستهدف لتوليد الأرقام.

من خلال مصادر الذكاء البشري (HUMINT)، لاحظنا أن هذه الأداة تستخدم خوارزميات مطورة داخليًا لتوليد هذه الأرقام.

‍

‍

مدقق الأرقام

يتم استخدام أداة التحقق من الأرقام للتأكد من دقة الأرقام التي تم إنشاؤها والتحقق من الدولة أيضًا. لم نتمكن من التحقق مما إذا كانت هذه الأرقام قد تم التحقق منها مقابل بعض المصادر الخارجية.

‍

كاشف الناقل

الخدمة الثالثة في القائمة هي Detector وهو كاشف ناقل. كاشف رقم الهاتف المحمول هو برنامج أو خدمة مصممة لتحديد شركة الجوال أو مشغل الشبكة المرتبط برقم هاتف محمول معين. يمكن استخدام هذه الأداة لتحديد شركة الاتصالات التي تقدم الخدمة لرقم هاتف معين. وفقًا للمطالبة، يمكن للخدمة تحديد البلد وشركة الاتصالات المرتبطة برقم الهاتف.

‍

‍

فلتر الرسائل القصيرة

عامل تصفية بوابة SMS هو آلية أو مكون داخل نظام بوابة SMS مصمم لتصفية وإدارة رسائل SMS (خدمة الرسائل القصيرة). والغرض الأساسي منه هو التحكم في تدفق رسائل SMS والتأكد من إرسال أو استقبال الرسائل الشرعية والمرغوبة والمتوافقة فقط من خلال البوابة.

‍

إدارة القوائم

List Manager هي ميزة يمكن من خلالها تحميل الأرقام المجمعة معًا لتنظيم أرقام الهواتف دون عناء في القوائم، مما يبسط عملية إرسال رسائل SMS. يمكن استخدامه أيضًا لمراجعة قائمة أرقام الهاتف وإزالة أي إدخالات غير مرغوب فيها

‍

مرسل SMS غير محدود من SMA

يعلن النص عن تحديث مهم لخدمة مرسل الرسائل القصيرة تسمى «SPOOF MY ASS UNLIMITED SMS SENDER» والتي أصبحت الآن نموذجًا خاصًا قائمًا على الاشتراك. تشمل النقاط الرئيسية للتحديث ما يلي:

• ‍بوابة الرسائل القصيرة الخاصة: سيتمكن المستخدمون المشتركون من الوصول إلى بوابة الرسائل القصيرة الخاصة بهم لتحسين جودة الخدمة والموثوقية.‍
• الاشتراك الشهري: يحتاج المستخدمون إلى الاشتراك مقابل 300 دولار شهريًا للوصول إلى خدمة الرسائل القصيرة المميزة.‍
• معرف المرسل المخصص: يمكن للمشتركين تخصيص معرفات المرسل للتخصيص والعلامة التجارية.‍
• إرسال غير محدود: يمكن للمشتركين إرسال رسائل SMS غير محدودة حول العالم.‍
• مشترك واحد، بوابة واحدة: يحصل كل مشترك على بوابة الرسائل القصيرة الخاصة به من أجل التفرد والأداء.‍
• عملية التنشيط: لتفعيل بوابة الرسائل القصيرة الخاصة، يجب على المستخدمين الاتصال بالمسؤول على Telegram للحصول على إرشادات.

‍

‍

‍

التحديثات الأخيرة على لوحة خدمة SpoofMyAss

وفقًا لمطالبتهم، هذه هي التحديثات على الإصدار 2 (V2) من الخدمة:

• بوابة الرسائل القصيرة الخاصة: سيتمكن المستخدمون المشتركون الآن من الوصول إلى بوابة الرسائل القصيرة الخاصة بهم. وفقًا للمطالبة، ستضمن هذه البوابة أعلى مستوى من جودة الخدمة والموثوقية.

• الاشتراك الشهري: للوصول إلى خدمة الرسائل القصيرة المميزة هذه، سيحتاج المستخدمون إلى الاشتراك على أساس شهري. تبلغ رسوم الاشتراك 300 دولار شهريًا.

• معرف المرسل المخصص: سيتمتع المشتركون بالمرونة لتخصيص معرف المرسل لرسائلهم، وتعزيز التخصيص والعلامة التجارية.

• إرسال غير محدود: مع الاشتراك، سيكون لدى المستخدمين إمكانيات غير محدودة لإرسال الرسائل القصيرة، مما يسمح لهم بالوصول إلى المستلمين في جميع أنحاء العالم دون قيود.

• مشترك واحد، بوابة واحدة: سيحصل كل مشترك على بوابة الرسائل القصيرة الخاصة به لمدة شهر واحد، مما يضمن التفرد والأداء.

‍

‍

‍

تداعيات رسائل OTP القصيرة وخدمات OTP للحصول على المكالمات

‍

إن تداعيات هذا الاستغلال عميقة. مجرمو الإنترنت، عند الوصول إلى الخدمات المصرفية عبر الإنترنت للضحية والحسابات الحساسة الأخرى، مجهزون لارتكاب مجموعة واسعة من المعاملات الاحتيالية عبر الإنترنت. ومع ذلك، فإن نطاق التهديد الذي تشكله هذه الخدمات يمتد إلى ما هو أبعد من مجرد الاستيلاء على OTPs. هذه الأدوات الخبيثة متعددة الاستخدامات، وقادرة على استخدام تقنيات الهندسة الاجتماعية، ونشر البرامج الضارة أو الحيل، وحتى إلحاق المضايقات والابتزاز بأهدافها.

تصور خدمات OTP SMS و OTP call Grabber عواقب وخيمة وتشكل مخاطر كبيرة لكل من الأفراد والمؤسسات. فيما يلي عدة أمثلة على كيفية استغلال هذه الخدمات لأغراض ضارة:

الاستحواذ على الحساب: يمكن للأفراد الضارين استخدام خدمات OTP Grabber لاعتراض OTP المرسلة عبر الرسائل القصيرة أو المكالمات الصوتية. مسلحين بعمليات OTP التي تم اعتراضها، يمكنهم الدخول بشكل غير مشروع إلى حسابات الضحية، بما في ذلك البريد الإلكتروني ووسائل التواصل الاجتماعي والحسابات المالية، مع السيطرة بشكل فعال على الحسابات المذكورة. في حالة محددة، يستخدم المهاجم خدمة OTP Grabber لاعتراض OTP المرسل إلى الجهاز المحمول للضحية أثناء محاولة تسجيل الدخول. بعد ذلك، وبالاستفادة من OTP المسروق، يقوم المهاجم بتأمين الوصول إلى حساب البريد الإلكتروني للضحية، مع الاحتفاظ بالبيانات الشخصية والمالية الحساسة.

سرقة الهوية: يمكن استخدام خدمات OTP Grabber للاستحواذ غير المشروع على OTPs المستخدمة في التحقق من الهوية عبر مجموعة من الخدمات عبر الإنترنت. وفي وقت لاحق، يمكن للجهات الخبيثة استغلال عمليات OTP هذه للافتراض عن هوية الهدف، مما يتيح تنفيذ أنشطة احتيالية وربما يسهل سرقة الهوية. في هذه العملية، يقوم فاعل حاقد باعتراض OTP من خلال خدمة OTP Grabber، مما يمكّنه من اتخاذ شخصية المستخدم الشرعي وتنفيذ معاملات غير مصرح بها بقصد الاحتيال.

الوصول غير المصرح به: غالبًا ما يتم استخدام OTPs للمصادقة الثنائية (2FA) لتوفير طبقة إضافية من الأمان. يمكن أن يؤدي سوء استخدام خدمات OTP Grabber إلى تجاوز هذا الإجراء الأمني، مما يتيح الوصول غير المصرح به إلى الأنظمة أو التطبيقات الحساسة.

الاحتيال المالي: يمكن أن يؤدي الوصول إلى OTPs إلى تمكين المهاجمين من تنفيذ الاحتيال المالي. يمكنهم إجراء معاملات غير مصرح بها أو تحويل الأموال أو سحب الأموال من الحسابات المصرفية للضحية أو المحافظ الرقمية.

غزو الخصوصية: يعد اعتراض OTPs خرقًا للخصوصية، حيث يتضمن مراقبة قنوات اتصال الضحية والوصول إليها دون موافقة. يمكن أن يسبب هذا الانتهاك للخصوصية ضغوطًا عاطفية وقلقًا للضحايا.

المصادقة المتزامنة: يمكن لخدمات OTP Grabber اعتراض OTP في الوقت الفعلي، مما يسمح للمهاجمين بمصادقة أنفسهم نيابة عن الضحية، مما يجعل من الصعب على الضحية ملاحظة ذلك أو الرد في الوقت المناسب.

اختطاف الحساب: يمكن أن تؤدي خدمات OTP Grabber إلى الاستيلاء الكامل على الحساب، حيث يمكن للمهاجمين تغيير كلمات مرور الحساب وإعدادات الأمان ومعلومات الاسترداد، مما يؤدي إلى إغلاق مالك الحساب الشرعي من حساباته الخاصة.

نشر البرامج الضارة أو الاحتيالs: يمكن للجهات الفاعلة في مجال التهديد استخدام Fast SMA لأتمتة المكالمات التي تروج لتنزيلات البرامج الضارة أو المخططات الاحتيالية الأخرى. من خلال تخصيص محتوى المكالمة ليناسب أهدافًا مختلفة، يمكنهم نشر برامج ضارة أو ارتكاب عمليات احتيال على نطاق أوسع.

التحرش والابتزاز: في بعض الحالات، قد تستخدم الجهات الفاعلة في مجال التهديد هذه الخدمة للتحرش أو الابتزاز. ويمكنهم بشكل متكرر إرسال مكالمات تهديدية أو مضللة للضحايا، والمطالبة بالمال أو المعلومات الحساسة مقابل وقف المضايقات.

من المهم للأفراد والمؤسسات توخي الحذر بشأن حماية OTP وتنفيذ تدابير أمنية إضافية، مثل استخدام تطبيقات المصادقة أو الرموز المميزة للأجهزة، للحماية من اعتراض OTP. بالإضافة إلى ذلك، يعد الإبلاغ عن أي سوء استخدام مشتبه به لخدمات OTP Grabber إلى سلطات إنفاذ القانون أو السلطات المختصة أمرًا بالغ الأهمية لمكافحة هذه الأنشطة غير القانونية.

الانطلاق في مهدها باستخدام وحدة CloudSek تحت الأرض

تقوم منصة CloudSek لمراقبة الويب العميقة والمظلمة بمسح آلاف المصادر عبر الويب العميق والمظلم لتحديد الاحتيال والتهديدات المستهدفة. توفر الخدمة للمحللين لوحة زجاجية واحدة لمراقبة أنشطة الويب المظلمة. في هذه الحالة بالذات، إذا تم بيع بيانات الاعتماد المتعلقة بالخدمات المصرفية على الويب المظلم، فسيتم إخطارك مباشرةً حتى تتمكن من اتخاذ تدابير أمنية على الفور وإبلاغ المستخدمين/العملاء المتأثرين.

صيحات ومراجعات لوحة خدمة SpoofMyAss:

تشير المراجعات إلى أن الخدمة تحظى بجاذبية في المنتديات السرية وأن الجهات الفاعلة في مجال التهديد قد بدأت بالفعل في استخدامها لأغراض شائنة.

‍

المراجع

• https://krebsonsecurity.com/2021/02/u-k-arrest-in-sms-bandits-phishing-service/ 
• https://twitter.com/MGMResortsIntl/status/1702290900217413783 

الملحق

‍

‍

‍

‍