الفئة:
استخبارات الخصم
الصناعة:
الحكومة
التحفيز:
المالية
المنطقة:
الهند
مصدر*:
A1
ملخص تنفيذي
تهديدتأثيرتخفيف
- حملة هندسة اجتماعية تنتحل شخصية مسؤولي الكهرباء لإخطار العملاء بالفواتير المعلقة.
- يتم إقناع الضحايا بالكشف عن المعلومات الحساسة وتنزيل تطبيقات الطرف الثالث.
- يمكن استغلال معلومات تحديد الهوية الشخصية لإجراء عمليات احتيال مصرفية وهجمات الهندسة الاجتماعية الأخرى.
- يمكن استخدام تطبيقات الطرف الثالث للوصول إلى جهاز الضحية وتغيير التفاصيل.
- أرسل إشعارات توعية للعملاء لإبلاغهم بالرسائل الرسمية وأرقام خط المساعدة.
- تقوية بوابة الدفع للعملاء لدفع المستحقات.
التحليل والإسناد
معلومات من البريد
- كلاود سيكاكتشفت منصة الحماية من المخاطر الرقمية (DRP) التي تعمل بالذكاء الاصطناعي حملة هندسة اجتماعية أطلقتها جهات التهديد التي تنتحل شخصية الموظفين الرسميين في KSEB (مجلس كهرباء ولاية كيرالا).
- تم تنفيذ الحملة عبر الرسائل النصية التي طلبت من العملاء الاتصال برقم معين للمساعدة في دفع فاتورة الكهرباء.
- عند الاتصال بالرقم المحدد، طُلب من الضحايا تنزيل التطبيقات للحصول على دعم سريع أو النقر على روابط عناوين URL، مما أدى لاحقًا إلى اختراق جهاز الضحية والتطبيقات المصرفية.
- عانى ضحايا هذه الحملة من خسائر مالية كبيرة بلغ مجموعها أكثر من 10 آلاف روبية هندية.

الرسائل المرسلة إلى العملاءمعلومات من OSINT
- تم تسليط الضوء على الأرقام الثلاثة التالية في الرسائل التي أرسلها ممثل التهديد للعملاء عبر WhatsApp و SMS.
- 7365038099
- 8388924157
- 7908919532
- باستخدام قاعدة بيانات تطبيق الهاتف الذكي، تم الكشف عن التفاصيل التالية حول الأرقام المتصلة:
- جميع الأرقام الثلاثة لها نفس الموقع الجغرافي، أي ولاية البنغال الغربية والهند. يشير هذا إلى الموقع الجغرافي المحتمل للمحتالين.
- كان رقم الهاتف المحمول «8388924157» مرتبطًا بقضية جنائية جارية في باتنا سادار بولاية بيهار. ومن المقرر عقد جلسة الاستماع التالية لهذه القضية في نوفمبر.
[معرف التسمية التوضيحية = «المرفق _20428" aligncenter «العرض ="615"]

القضية الجارية المرفوعة ضد 8388924157 [/caption]
-
- شوهد رقم الهاتف المحمول «7365038099" في محادثة بين الضحايا المتضررين، وكشف عن TTPs التي استخدمها الممثلون وذكر عملية الاحتيال التي أدت إلى الوصول إلى WhatsApp (لم يتم التحقق منها بعد).
[معرف التسمية التوضيحية = «المرفق _20429" aligncenter «العرض = «690"]

محادثة بين العملاء المتأثرين [/caption]
-
- وفقًا لبيانات من بوابة الدفع والتطبيق، تم العثور على الاسمين التاليين مرتبطين بالرقم «7365038099":
- سانيف أكتار
- فيجاي فيجاي شارما
- كما تبين أن أحد الأرقام المرتبطة بهذه الحملة المزيفة مرتبط بالحملة ضد PAYTM.
التقنيات والتكتيكات والإجراءات (TTPs)
- تستهدف الجهات الفاعلة في مجال التهديد عملاء KSEB عبر الرسائل النصية و WhatsApp.
- تم تصميم قوالب الرسائل بطريقة تخلق شعورًا بالذعر. وهي تحمل بنودًا تحذر من أنه إذا لم يتم دفع الفواتير المعلقة بحلول الساعة 9:30 مساءً، فسيكون هناك انقطاع في التيار الكهربائي.
- تشير الرسائل أيضًا إلى رقم للاتصال بالمسؤولين من مجلس الكهرباء للحصول على مزيد من المساعدة.
- يتمتع المحتالون بالخبرة الكافية لإقناع الضحايا بالكشف عن تفاصيل حساسة مثل أوراق اعتماد OTP.
- بمجرد مشاركة OTP/بيانات الاعتماد، يؤدي ذلك إلى خسارة الأموال من حساب الضحية.
- بعد سرقة أموال الضحية بنجاح، يواصل المحتالون التواصل معهم وإقناعهم أيضًا بتنزيل تطبيقات الطرف الثالث، مما يؤدي إلى الوصول الكامل إلى جهاز الضحية.
- يتم استخدام هذا الوصول لاحقًا للاستيلاء على الجهاز بالكامل وتغيير التفاصيل حسب الحاجة.
- وفقًا للمعلومات التي تم جمعها من القضية المرفوعة، يمكن الاستنتاج أن المحتالين لديهم خبرة في تنفيذ حملات الهندسة الاجتماعية ضد مختلف الكيانات.
- يمتلك المحتالون المعرفة التقنية المطلوبة للعمل مع تطبيقات مثل ريمودرويد، تطبيق الدعم السريع، AnyDesk، وغيرها من تطبيقات التحكم عن بعد.
التأثير والتخفيف
التأثيرالتخفيف
- خسارة مالية للضحايا.
- يمكن استغلال معلومات تحديد الهوية الشخصية لإجراء عمليات احتيال مصرفية وهجمات الهندسة الاجتماعية الأخرى.
- يمكن استخدام تطبيقات الطرف الثالث للوصول إلى جهاز الضحية وتغيير التفاصيل.
- كان الممثلون يستدرجون الضحايا للكشف عن OTP من أجل الوصول إلى WhatsApp.
- يتم إرسال إشعار توعوي للعملاء حول الرسائل الرسمية وأرقام خط المساعدة.
- تقوية بوابة الدفع للعملاء لدفع المستحقات.
- راقب منتديات الجرائم الإلكترونية لفهم التكتيكات التي تستخدمها الجهات الفاعلة.
المراجع
الملحق


معلومات تحديد الموقع الجغرافي لأرقام الاتصال الثلاثة
[معرف التسمية التوضيحية = «المرفق _20433" align= «alignnone» width="785"]

تفاصيل القضية المرفوعة ضد 8388924157 [/caption]
[معرف التسمية التوضيحية = «المرفق _20434" align= «alignnone» width="876"]

تفاصيل القضية المرفوعة ضد 8388924157 [/caption]


[معرف التسمية التوضيحية = «المرفق _20437" aligncenter «العرض = «717"]

الرقم المرتبط بحملة PAYTM الوهمية [/caption]
[معرف التسمية التوضيحية = «المرفق _20438" aligncenter «العرض = «948"]

تقرير عن الخسائر المالية التي تكبدها ضحايا الحملة [/caption]
[معرف التسمية التوضيحية = «المرفق 20440" align= «alignnone» width="645"]

يستعرض Google Play تطبيقات الدعم السريع للتحكم عن بُعد التي يستخدمها المحتالون [/caption]
