كشف تحقيق لمنصة “Unit 42” المتخصصة في الأمن السيبراني عن حملة احتيال دولية تحت اسم “جينغل ثيف”، يقودها قراصنة مغاربة يستهدفون الشركات العالمية في قطاعي التجزئة والخدمات الاستهلاكية، لتحقيق أرباح مالية عبر بطاقات الهدايا الرقمية خلال المواسم الاحتفالية. وتعتمد الحملة على تقنيات التصيد الاحتيالي عبر البريد الإلكتروني والرسائل النصية القصيرة، ما يمكّن المهاجمين من الحصول على بيانات دخول المؤسسات وإصدار بطاقات هدايا غير مصرح بها، مع الحفاظ على موطئ قدم طويل داخل البيئة المستهدفة، أحياناً لأكثر من عام، ما يصعّب اكتشافهم ومعالجتهم.
وأظهرت التحقيقات أن المهاجمين يعملون بشكل حصري ضمن البيئات السحابية بعد الحصول على بيانات الاعتماد، مستغلين منصات مثل “Microsoft 365” بما في ذلك “SharePoint” و“OneDrive” و“Exchange” و“Entra ID”، لتنفيذ عمليات احتيال واسعة النطاق. كما يستفيدون من مواسم الأعياد لنشاطهم، مستغلين فترات نقص الموظفين وارتفاع الإنفاق على بطاقات الهدايا، ما يزيد من صعوبة كشف عملياتهم. وتعتبر بطاقات الهدايا وسيلة مثالية للتحويل السريع للنقد وإخفاء آثار العمليات الاحتيالية، وربما استخدامها في غسل الأموال.
كما أوضح التحقيق أن القراصنة يجرون استثمارات كبيرة في الاستطلاع الاستخباراتي قبل تنفيذ الهجمات، ويجمعون معلومات مفصلة عن أهدافهم لإنشاء رسائل تصيد عالية المصداقية، غالباً باستخدام الحسابات المخترقة لإرسال رسائل داخل المؤسسة نفسها، ما يمنحهم تحكماً واسعاً دون الحاجة لأي برمجيات خبيثة. وأكدت الأدلة أن أنشطة الحملة انطلقت من عناوين “IP” مغربية، حيث تم رصد سلوكيات تسجيل دخول متكررة مرتبطة بمزودي الاتصالات المحليين، مع استخدام محدود لأدوات إخفاء الهوية مثل “VPN”، مما يعكس مستوى تنظيمي وتقني متقدم لدى القراصنة.
27/10/2025
