ألقت الشرطة في نيجيريا ، بمساعدة الإنتربول ، القبض على 11 شخصًا في البلاد لتورطهم المزعوم في عمليات احتيال البريد الإلكتروني التجارية (BEC) المرتبطة بأكثر من 50,000 هدف في جميع أنحاء العالم.
تم تحديد ستة من المعتقلين على أنهم أعضاء في SilverTerrier ، وهي عصابة BEC معروفة يعتقد أنها أضرت بآلاف الشركات على مستوى العالم ونجحت في التهرب من الملاحقة القضائية لأكثر من خمس سنوات.
يحتوي جهاز كمبيوتر محمول تابع لأحد عملاء BEC المزعومين الـ 11 على حوالي 800,000 اسم مستخدم وبيانات اعتماد تنتمي إلى منظمات ضحية محتملة. تم العثور على شخص آخر موقوف على أنه كان يراقب المحادثات بين 16 شركة وعملائها ، بالإضافة إلى محاولة تحويل الأموال إلى حسابات SilverTerrier عندما كانت المعاملات بينهما على وشك الانتهاء ، قال الانتربول الأربعاء.
ووقعت الاعتقالات في ديسمبر كانون الأول وكانت تتويجا لعملية استمرت 10 أيام تسمى عملية فالكون 42 ، حيث استخدمت قوة الشرطة النيجيرية (NPF) المعلومات التي قدمتها الإنتربول للقبض على المشتبه بهم في مدينتي لاغوس وأسابا. كجزء من العملية ، عملت NPF مع سلطات إنفاذ القانون في العديد من البلدان التي كانت تحقق بنشاط في نشاط BEC في نيجيريا. كما ساهم في هذا الجهد الوحدة XNUMX في بالو ألتو نتووركس وفريق التحقيقات السيبراني APAC التابع لمجموعة IBAC.
صرح كريج جونز ، مدير مكافحة الجرائم الإلكترونية في الإنتربول ، قائلاً: "ترسل عملية فالكون XNUMX رسالة واضحة مفادها أن الجرائم الإلكترونية سيكون لها تداعيات خطيرة على المتورطين في الاحتيال على البريد الإلكتروني للأعمال التجارية". "الإنتربول يعمل على توحيد صفوف عصابات مثل" SilverTerrier "؛ مع استمرار التحقيقات في الكشف ، فإننا نبني صورة واضحة جدًا عن كيفية عمل هذه المجموعات ولفسادها لتحقيق مكاسب مالية ".
هذه هي العملية الرئيسية الثانية التي ينسقها الإنتربول ضد الجهات الفاعلة BEC في نيجيريا في السنوات الأخيرة. في تشرين الثاني (نوفمبر) 2020 ، استند صندوق التدخل الوطني ، بناءً على معلومات من الإنتربول و Group-IB ، القبض على ثلاثة أعضاء من مجموعة تسمى TMT التي كان يعتقد أنها ضربت 500,000 منظمة مذهلة في أكثر من 150 دولة.
في عمليات الاحتيال BEC ، عادةً ما يخدع المهاجمون الذين يستخدمون حسابات بريد إلكتروني مخادعة أو مسروقة المسؤولين المستهدفين في منظمة ضحية لإجراء تحويلات بنكية إلى حسابات بنكية يسيطر عليها المهاجمون ، والتي عادة ما تكون مقرها في بلد آخر. على سبيل المثال ، قد يتظاهر المهاجم بأنه مورد أو بائع شرعي لخداع مؤسسة لدفع فاتورة احتيالية. تتضمن هذه الحيل الكثير من التصيد المستهدف والهندسة الاجتماعية حيث يتظاهر المحتالون غالبًا بأنهم مدير تنفيذي رفيع المستوى أو شخص متورط في مدفوعات التحويل الإلكتروني في الشركة المستهدفة.
خسر العديد من كيانات القطاعين العام والخاص عشرات إلى مئات الآلاف من الدولارات في عمليات الاحتيال هذه. مارس الماضي ، أف بي آي ذكرت تلقي 19,369 شكوى متعلقة بـ BEC في عام 2020 والتي كلفت الضحايا مجتمعة 1.9 مليار دولار ، أو ما يقرب من نصف إجمالي الخسائر المجمعة البالغة 4.1 مليار دولار من جميع أشكال الجرائم الإلكترونية في ذلك العام.
يقول بريان جونسون ، كبير مسؤولي الأمن في Armorblox ، إن اهتمام الفاعلين بالتهديد بحيل BEC لا يزال مرتفعًا بسبب مدى فعالية هذه الهجمات التي يمكن مقارنتها بالناقلات الأخرى.
يقول: "في بيئة الأعمال الحالية ، يمتلك كل موظف عنوان بريد إلكتروني يتجه للجمهور". "على عكس البنية التحتية الأخرى داخل الشركة ، فإن أنظمة البريد الإلكتروني مفتوحة للوصول العام ويجب أن تكون في متناول أي شخص وكل شخص."
هذه الحقيقة ، جنبًا إلى جنب مع مدى تافهة فهم المهاجمين لسير العمل في المؤسسة ، تجعل هجمات BEC سهلة التصميم والتنفيذ. بالإضافة إلى ذلك ، غالبًا ما يكون BEC هو المدخل إلى أشكال أخرى من الهجمات ، كما يقول جونسون.
يقول: "لقد رأينا العديد من التهديدات التي بدأت كمتجه BEC تتحول بسرعة إلى أشكال أخرى من الهجمات الإلكترونية مثل برامج الفدية".
يقول بيت رينالز ، الباحث الرئيسي في وحدة بالو ألتو للشبكات 42 ، إن شركته قدمت القياس عن بعد ، وتحليل البرامج الضارة ، والدعم الجنائي الذي أدى إلى اعتقال ستة من أعضاء SilverTerrier.
يقول: "سابقًا ، بعد الاعتقالات في نوفمبر / تشرين الثاني 2020 ، حددت الوحدة 42 أن لدينا تفاصيل الطب الشرعي التاريخية عن الممثلين وشركائهم التي من شأنها أن تساعد في الجهود المبذولة لمحاكمة أعضاء SilverTerrier".
يصف رينالز عملية فالكون XNUMX بأنها تتخذ نهجًا مختلفًا عن تكتيك إنفاذ القانون المعتاد لاستهداف بغال المال وغيرهم ممن يستفيدون بشكل مباشر من عمليات الاحتيال BEC.
"بدلاً من ذلك ، ركزت في الغالب على العمود الفقري التقني لعمليات BEC من خلال استهداف الجهات الفاعلة التي تمتلك المهارات والمعرفة لبناء ونشر البرمجيات الخبيثة والبنية التحتية للمجال المستخدمة في هذه المخططات ،" كما يقول.
تأثير عمليات الإزالة الجنائية
كما هو الحال في كثير من الأحيان مع الاعتقالات وعمليات الإزالة الخاصة بإنفاذ القانون لنشاط الجرائم الإلكترونية ، ليس من الواضح كيف وما إذا كانت عملية فالكون XNUMX ستحدث تأثيرًا في مشهد BEC.
أحد العوامل هو العدد الهائل لمجرمي الإنترنت المشاركين في النشاط. وفقًا لـ Renals ، تتعقب Palo Alto Networks حاليًا أكثر من 500 جهة تهديد مرتبطة بعملية SilverTerrier وحدها.
لم تفعل الاعتقالات السابقة الكثير لردع المجرمين عن العودة إلى عمليات الاحتيال في BEC. على سبيل المثال ، تم اعتقال دارلينجتون ندوكو ، وهو فرد ساعد بالو ألتو نتوركس في اعتقاله كجزء من عملية فالكون 2018 ، في عام 2020 كجزء من عملية مكتب التحقيقات الفيدرالي تسمى WireWire. وقال بالو ألتو نتوركس إنه واصل العمل كجزء من عملية SilverTerrier منذ ذلك الحين ، مما يشير إلى أن المحاكمة الأولية لم تكن فعالة. وبالمثل ، تم إلقاء القبض سابقًا على Onuegwu Ifeanyi Ephraim ، وهو عامل آخر في SilverTerrier والذي علق في إجراءات إنفاذ القانون الأخيرة ، مع ثلاثة شركاء - في إجراءات إنفاذ القانون في نوفمبر XNUMX في نيجيريا.
يقول جونسون من Armorblox ، إن نيجيريا ، التي تعد نقطة ساخنة عالمية لنشاط BEC ، لديها أيضًا بنية تحتية تقنية مزدهرة ومجموعة مواهب بارعة للغاية في مجال التكنولوجيا. يتمتع أكثر من 100 مليون نيجيري بإمكانية الوصول إلى الإنترنت عالي السرعة ذي النطاق العريض ، وهذا العدد يتزايد باطراد. ويضيف أن البلاد لديها أيضًا قاعدة كبيرة من المواهب ذات المهارات العميقة في مجال الأمن السيبراني.
يلاحظ جونسون أن "أوروبا الشرقية وروسيا وكوريا الشمالية هي النقاط الساخنة الثلاثة الأخرى لنشاط BEC." "إنهم يسيرون جنبًا إلى جنب مع BEC وأشكال أخرى من الهجمات ، بما في ذلك برامج الفدية والتشفير."
