صادرت شركة مايكروسوفت يوم الثلاثاء ما يقرب من 340 موقعاً إلكترونياً مرتبطاً بخدمة نيجيرية سريعة النمو، سمحت للمستخدمين بتنفيذ عمليات تصيد احتيالي، مما أدى إلى سرقة ما لا يقل عن 5 آلاف بيانات اعتماد مستخدم لمايكروسوفت.

حصلت مايكروسوفت على أمر من المحكمة الجزئية الأميركية في مانهاتن في وقت سابق من هذا الشهر لمصادرة النطاقات المرتبطة بخدمة الاشتراك راكون 0365، التي سمحت للمستخدمين بتنفيذ حملات تصيد احتيالي ضخمة، والتي شملت أحياناً آلاف رسائل البريد الإلكتروني في وقت واحد، وفقاً لستيفن ماسادا، المستشار العام المساعد لوحدة الجرائم الرقمية في مايكروسوفت. قال ماسادا في مدونة نُشرت على موقع مايكروسوفت الإلكتروني إن خدمة راكون 0365، التي تعمل عبر قناة خاصة على تيليغرام تضم أكثر من 850 مشتركاً، تُمكّن المستخدمين من انتحال هوية علامات تجارية موثوقة، ودفع الأهداف إلى إدخال بيانات اعتماد تسجيل الدخول إلى مايكروسوفت على صفحات تسجيل دخول مزيفة.

قال ماسادا في مدونته إن الخدمة قد ولّدت لمجموعة صغيرة من مشغليها ما لا يقل عن 100 ألف دولار من مدفوعات العملات المشفرة منذ إطلاقها في يوليو تموز 2024.

وأضافت مايكروسوفت أن الاستيلاء على المواقع الإلكترونية حدث على مدار أيام في وقت سابق من هذا الشهر.

وحددت مايكروسوفت جوشوا أوغونديب، المقيم في نيجيريا، كقائد ومشغل رئيسي لراكون 0365.

وقال ماسادا: «لا يحتاج مجرمو الإنترنت إلى أن يكونوا متطورين لإحداث ضرر واسع النطاق، فالأدوات البسيطة مثل راكون 0365 تجعل الجرائم الإلكترونية في متناول أي شخص تقريباً، ما يُعرّض ملايين المستخدمين للخطر».

وأضاف ماسادا أن مشتركي راكون 0365 استهدفوا شريحة واسعة من القطاعات، وتزعم ملفات قضائية منفصلة أن «جزءاً كبيراً» من نشاط راكون 0365 يستهدف مؤسسات مقرها مدينة نيويورك. قال ماسادا إن مايكروسوفت حددت ما وصفته بأنه جهد متعلق براكون 0365 باستخدام رسائل بريد إلكتروني تصيدية ذات طابع ضريبي لاستهداف أكثر من 2300 منظمة، معظمها في الولايات المتحدة، بين 12 فبراير و28 فبراير من هذا العام، وفقاً لمدونة الشركة المنشورة في أبريل، تفتح علامة تبويب جديدة.

قال إرول فايس، كبير مسؤولي الأمن في مركز تبادل وتحليل المعلومات الصحية (Health-ISAC)، الذي يقدم خدمات الأمن السيبراني لمنظمات الصحة الأعضاء وهو مدعٍ مشارك إلى جانب مايكروسوفت، إن راكون 0365 قد ارتبط بحصاد ناجح لبيانات الاعتماد من خلال حملات تصيد احتيالي في خمس منظمات رعاية صحية لم يتم تسميتها على الأقل، بينما استهدفت 25 منظمة في قطاع الصحة بشكل عام.

وقال فايس إنه بمجرد حصول المتسللين على هذا الوصول، يمكن أن يحدث أي عدد من الأشياء.

وأضاف فايس في مقابلة: «تبدأ العديد من الهجمات لأن شخصاً ما تخلى عن اسم المستخدم وكلمة المرور الخاصة به لشخص سيء»، بمجرد وصول مجرم الإنترنت إلى الشبكة، يصبح الأمر متروكاً لخياله في ما يتعلق بما سيأتي لاحقاً وكيفية تحقيق الربح منه.

قالت شركة خدمات الإنترنت في منشور على مدونتها، إن مشغلي راكون 0365 استخدموا خدمات تقدمها كلاود فلير للمساعدة في إخفاء البنية التحتية الخلفية للخدمة، وأضافت الشركة أن كلاود فلير عملت مع مايكروسوفت وجهاز الخدمة السرية الأميركي لتعطيل عمليات راكون 0365 على منصتها ومنع المشغلين من إنشاء حسابات جديدة.

أفاد بليك دارشي، رئيس قسم استخبارات التهديدات في كلاود فلير، في مقابلة بأن مشغلي راكون 0365 ارتكبوا بعض الأخطاء الأمنية التشغيلية الرئيسية، لكنهم كانوا فعالين للغاية.