Phish، مُعطَّل: كيف خدع Tycoon2FA الشرطة وعاد بقوة
العنوان الفرعي: رغم حملة قمع شرطية واسعة النطاق حظيت بتغطية كبيرة، عاد إمبراطورية التصيّد Tycoon2FA إلى العمل، كاشفًا عن صلابة شبكات الجريمة السيبرانية.
في 4 مارس، احتفلت السلطات في أنحاء أوروبا بتفكيك Tycoon2FA، وهي منصة «التصيّد كخدمة» سيئة السمعة التي أصبحت لاعبًا محوريًا في الاحتيال عبر البريد الإلكتروني عالميًا. وللحظة وجيزة، بدا وكأن الكفّة تميل في الحرب التي لا تنتهي ضد مجرمي الإنترنت. لكن خلف الكواليس، كان مشغّلو Tycoon2FA قد بدأوا بالفعل بإعادة تنظيم صفوفهم - وخلال أيام، عادت المنصة إلى الإنترنت، تُشغّل عملياتها الاحتيالية بأقصى سرعة.
تُعد منصة Tycoon2FA، التي كُشف عنها لأول مرة على يد باحثين في الأمن السيبراني لدى Sekoia، مثالًا صارخًا على اقتصاد «الجريمة السيبرانية كخدمة» الحديث. فبدلًا من قراصنة منفردين، يعمل Tycoon2FA كأنه شركة تقنية ناشئة في الظل: يقدّم وصولًا قائمًا على الاشتراك إلى أدوات تصيّد قوية، مع دعم للمستخدمين وتحديثات منتظمة للميزات. وما الذي يجعله جذابًا؟ القدرة على تجاوز المصادقة الثنائية، وهي إجراء أمني يُنظر إليه على نطاق واسع بوصفه معيارًا ذهبيًا لحماية الحسابات على الإنترنت.
كان من المفترض أن يشلّ تعطيل 4 مارس عمليات Tycoon2FA. قادت Microsoft الهجوم التقني، فصادرت مئات النطاقات التي استضافت بنية المجموعة التحتية للتصيّد ولوحات التحكم. ولمدة يومين، هبط حجم الهجمات إلى ربع مستوياته السابقة. لكن CrowdStrike، وهي شركة رائدة في استخبارات التهديدات، لاحظت سريعًا اتجاهًا مقلقًا: عاد Tycoon2FA للعمل، واستُعيدت أحجام الهجمات إلى قوتها السابقة تقريبًا بين ليلة وضحاها.
كيف فعلوا ذلك؟ يعتقد المحققون أن عدة عوامل لعبت دورًا. أولًا، لم تُفصل جميع خوادم Tycoon2FA عن الإنترنت - إذ بقيت بعض البنية القديمة دون مساس. ثانيًا، لم يضيّع الفريق وقتًا في تسجيل نطاقات وعناوين IP جديدة لتعويض ما فُقد. ومع عدم حدوث اعتقالات أو مصادرة عتاد مادي، ظل المشغّلون أحرارًا لإعادة بناء إمبراطوريتهم الرقمية.
إن عودة Tycoon2FA ليست مجرد إنجاز تقني - بل شهادة على صلابة مجرمي الإنترنت اليوم وقدرتهم على التكيّف. ولا تزال المنصة تغذي طيفًا واسعًا من الهجمات: اختراق البريد الإلكتروني للأعمال، والاستيلاء على سلاسل مراسلات بريدية مخترقة، والسيطرة على حسابات سحابية، وحتى روابط SharePoint الخبيثة. وقد استفادت الحملات الأخيرة من كل شيء، من مختصرات الروابط إلى أدوات ويب شرعية، ما يجعل الكشف أصعب. وبعض الهجمات باتت تتضمن صفحات طُعم مولّدة بالذكاء الاصطناعي، مضيفة طبقة جديدة من الخداع.
بالنسبة للمدافعين، الرسالة واضحة: إسقاط البنية التحتية ليس سوى نصف المعركة. فبدون اعتقالات أو تعطيل أعمق، ستواصل خدمات الجريمة السيبرانية مثل Tycoon2FA العودة، ما دام هناك مال يمكن جَنْيه في عالم التصيّد السفلي.
كما تُظهر قيامة Tycoon2FA السريعة، فإن مجرمي الإنترنت باتوا أكثر رشاقة من أي وقت مضى. وبالنسبة لأجهزة إنفاذ القانون والمدافعين، فقد بدأ السباق لإيجاد استراتيجيات جديدة - لأنه في لعبة القط والفأر في الجريمة السيبرانية، يواصل الفأر الإفلات.
WIKICROOK
- التصيّد: التصيّد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
- اثنان: المصادقة الثنائية (2FA) طريقة أمنية تتطلب نوعين مختلفين من التعريف للوصول إلى حساب، ما يجعل اختراقه أصعب.
- اختراق البريد الإلكتروني للأعمال (BEC): اختراق البريد الإلكتروني للأعمال (BEC) عملية احتيال يخترق فيها المجرمون رسائل البريد الخاصة بالأعمال أو ينتحلونها لخداع الشركات لإرسال الأموال إلى حسابات احتيالية.
- خصم: الخصم هو أي شخص أو مجموعة تحاول اختراق أنظمة الحاسوب أو البيانات، غالبًا لأغراض خبيثة مثل السرقة أو التعطيل.
- الاستيلاء على الحساب السحابي: يحدث الاستيلاء على الحساب السحابي عندما يحصل المهاجمون على وصول غير مصرح به إلى خدمات سحابية، ما يعرّض لخطر سرقة البيانات والخسائر المالية والضرر بالسمعة.
