أصبحت سرقة معلومات بطاقة الائتمان من عملاء المتاجر، عبر هجمات قرصنة على الإنترنت، تشكل تهديدا متزايدا على مدى السنوات الماضية. تُعرف هذه الهجمات باسم MageCart والجهات الفاعلة في التهديد تعتمد على البرامج النصية الضارة أو كاشطات الويب (web skimmers) التي تنسخ المعلومات الحساسة من صفحة الدفع.

وفي جديد عالم سرقة الأموال الكترونيا، كشف بحث صدر في 6 تموز 2020 عن قيام قراصنة من كوريا الشمالية بشن هجمات الكترونية لسرقة معلومات بطاقات الائتمان العائدة لعدد من عملاء تجار التجزئة الكبار في الولايات المتحدة الاميركية وأوروبا، ويبدو أن هذه الهجمات قد بدأت منذ عام على الأقل.

ينسب الباحثون هذا النشاط الاحتيالي إلى مجموعة Lazarus (Hidden Cobra) والمعروف أنهم من المتسللين البارزين على مستوى الدول، بحيث استخدموا مواقع ويب شرعية لاستخراج بيانات بطاقة الائتمان المسروقة وتمويه عمليات سحب الأموال.

 

هجمات قرصنة متطورة.. من المتضرر؟

أثناء التحقيق في سرقة بطاقات الدفع، اكتشف الباحثون في شركة أمن الويب Sansec أن الكاشطات تم تحميلها من المجالات التي خدمت البرامج الضارة في هجمات التصيد الاحتيالي الناجحة، والتي يتم نسبها إلى نشاط القراصنة الكوريين الشماليين في جمهورية كوريا الشمالية، ولا سيما مجموعة Lazarus.

وبذلك، ساعدت عملية مشاركة البنية التحتية إلى جانب الخصائص المميزة الفريدة المستخدمة في الرموز، على ربط النقاط ورصد مصدر الهجمات على البطاقات الائتمانية. ومن الضحايا الذين تعرضوا للاحتيال شركات عملاقة مثل: accessories giant Claire’s، Wongs Jewellers، Focus Camera، Paper Source، Jit Truck Parts،  CBD Armour،Microbattery، و Realchems. القائمة أكبر بكثير من ذلك وتضم عشرات المتاجر في الولايات المتحدة الأميركية وأوروبا.

ولتغطية آثار الجريمة، قام المهاجمون باختراق مواقع ويب شرعية خاصة بعدد من الشركات الحقيقية لإلقاء معلومات البطاقة المسروقة. وعلى سبيل المثال، وفقا لنتائج Sansec، قام القراصنة باختطاف مواقع تابعة لوكالة عرض أزياء إيطالية (Lux Model Agency) ، ومكتبة لبيع الكتب في نيو جيرسي، ومتجر موسيقى كلاسيكية في طهران، لتغطية آثار أعمالهم.

فتسجيل أسماء نطاقات مشابهة لتلك المملوكة من متاجر الضحايا هو تكتيك آخر يبدو أنه يؤتي ثماره كثيرا لقراصنة Hidden Cobra. وبالتالي يجب الحذر كثيرا من عدم استخدام مواقع الكترونية حديثة المنشأ قبل التأكد من صحة المصدر ورسمية العمل التجاري القائم.

 

رسم بياني لخطة الهجوم

للمزيد من المعلومات، تظهر الصورة أدناه نقط استخراج المعلومات exfiltration nodes  (باللون الأحمر) والتي استخدمها قراصنة كوريا الشمالية لجمع معلومات بطاقات الدفع من الضحايا (باللون الأخضر).

هجمات قرصنة على بعض المتاجر الأمريكية