كشف باحثون في الامن الالكتروني عن عملية احتيال عالمية واسعة النطاق تستهدف مستخدمي منصة فيسبوك Facebook، بعد العثور على قاعدة بيانات ElasticSearch غير آمنة ومكشوفة يستخدمها المحتالون لتخزين أسماء المستخدمين وكلمات المرور لما لا يقل عن 100000 ضحية.

تبدأ عملية الاحتيال العالمية بشبكة من المواقع الإلكترونية التي يمتلكها محتالون، والتي تخدع مستخدمي فيسبوك لتقديم بيانات اعتمادهم من خلال تقديم وعد بإظهار قائمة بالأشخاص الذين زاروا ملفاتهم الشخصية مؤخرًا.

 

عملية احتيال متقدمة

يخبر الموقع الضحايا على سبيل المثال: “كان هناك 32 زائراً للملف الشخصي على صفحتك في اليومين الماضيين!”، وللحصول على التفاصيل، سيطلب الموقع الوهمي من الضحية النقر على زر “فتح القائمة” ليتم إرسال الشخص إلى صفحة تسجيل دخول مزيفة على فيسبوك حيث يُطلب منه إدخال بيانات اعتماد تسجيل الدخول الخاصة به.

بعد القيام بذلك، تظهر صفحة تحميل مزيفة تتعهد بمشاركة القائمة الكاملة، ويتم إعادة توجيه الضحية إلى صفحة Google Play للحصول على تطبيق تحليلات Facebook غير ذي صلة.

وخلال هذه العملية، قام المحتالون بحفظ اسم مستخدم فيسبوك وكلمة مرور الضحية على قاعدة البيانات المكشوفة لاستخدامها في المستقبل في أنشطتهم الإجرامية الأخرى. هذا وتم تخزينها بشكل واضح، مما يسهل على أي شخص يجد قاعدة البيانات عرضها وتنزيلها وسرقتها.

في سياق متصل، قد يستخدم المحتالون بيانات اعتماد تسجيل الدخول المسروقة لمشاركة تعليقات خبيثة على منشورات Facebook عبر حساب الضحايا المخترق، لتوجيه الأشخاص إلى شبكة مواقع الاحتيال الخاصة بهم. وتؤدي جميع هذه المواقع الالكترونية المذكورة في التعليقات إلى منصة تداول بتكوين Bitcoin مزيفة تُستخدم لخداع الأشخاص لدفع مبلغ لا يقل عن 250 يورو / 295 دولار من حساباتهم المالية الشخصية.

 

قاعدة البيانات المكشوفة

قاعدة بيانات Elasticsearch غير المؤمنة هي 5.5 جيجا بايت، وتحتوي على 13.521.774 سجلاً لما لا يقل عن 100000 مستخدم على فيسبوك. كانت البيانات مكشوفة بين يونيو وسبتمبر من هذا العام؛ إذ تم اكتشافها في 21 سبتمبر وإغلاقها في 22 سبتمبر.

تضمنت التفاصيل الموجودة في قاعدة البيانات المكشوفة بيانات اعتماد وعناوين IP، مخططات نصية للتعليقات التي قد يُدلي بها المحتالون على صفحات Facebook (عبر حساب مخترق) والتي توجه الأشخاص إلى مواقع ويب مشبوهة ومخادعة، وبيانات معلومات التعريف الشخصية (PII) مثل رسائل البريد الإلكتروني والأسماء وأرقام الهواتف الخاصة بضحايا احتيال Bitcoin.

وأوضح الباحثون الأمنيون أنه من أجل التأكد من أن قاعدة البيانات حقيقية وفعّالة، قاموا بإدخال بيانات اعتماد تسجيل دخول مزيفة على إحدى صفحات الويب المخادعة، ليتحققوا لاحقاً من تسجيلها في القاعدة.

في اليوم التالي لاكتشاف قاعدة البيانات، تعرضت للهجوم من قبل مجموعة Meow الإلكترونية واسعة الانتشار، مما أدى إلى محو جميع بياناتها بالكامل. وبالتالي انقطع الاتصال بقاعدة البيانات في نفس اليوم ولم يعد من الممكن الوصول إليها. ولا أحد يعلم ماذا حصل فعلاً!