كشفت منصة Unit 42، التابعة لشركة Palo Alto Networks والمتخصصة في الأمن السيبراني، عن تفاصيل حملة احتيال إلكتروني دولية واسعة النطاق تحمل اسم “جينغل ثيف” (Jingle Thief)، يقودها قراصنة ينشطون من المغرب، تستهدف الاستيلاء على بطاقات الهدايا الرقمية لتحقيق أرباح مالية ضخمة، خصوصًا خلال مواسم التسوق الكبرى.
ووفقًا للتقرير الاستقصائي، تعتمد هذه الشبكة الإجرامية على أساليب تصيد إلكتروني متقدمة، تشمل البريد الإلكتروني (Phishing) والرسائل النصية (Smishing)، لاختراق أنظمة شركات التجزئة والخدمات الاستهلاكية العالمية، بهدف سرقة بيانات الدخول التي تتيح للمهاجمين الوصول إلى الأنظمة الداخلية وإصدار بطاقات هدايا غير مصرح بها.
وأشار التحقيق إلى أن خطر الهجوم لا يقتصر على الاختراق الأولي، بل يمتد إلى ما وصفه التقرير بـ”القدرة على البقاء”، إذ ينجح المهاجمون في الحفاظ على وجودهم داخل الشبكات المخترقة لفترات طويلة — تتجاوز في بعض الحالات العام الكامل — مما يمكنهم من دراسة البنية التحتية للضحايا بعمق. ففي إحدى الحالات، تمكنت المجموعة من اختراق أكثر من 60 حساب مستخدم داخل مؤسسة عالمية واحدة، واحتفظت بإمكانية الوصول إلى بياناتها لمدة تقارب 10 أشهر.
وأوضح التقرير أن المجموعة، التي تنشط منذ عام 2021 بدوافع مالية بحتة، تختلف عن جماعات القرصنة التقليدية، إذ تركز أنشطتها في البيئات السحابية بدلًا من استخدام البرمجيات الخبيثة المعروفة. ويستغل المهاجمون خدمات Microsoft 365 — مثل SharePoint وOneDrive وExchange — في انتحال هويات المستخدمين الشرعيين وتنفيذ عمليات احتيال واسعة على بطاقات الهدايا.
كما تعتمد الحملة على أسلوب يُعرف بـ**”التصيد الداخلي” (Internal Phishing)**، حيث تُرسل رسائل احتيالية من الحسابات المخترقة إلى موظفين آخرين داخل المؤسسة نفسها، ما يجعلها أكثر إقناعًا وصعوبة في الاكتشاف.
وبيّن التقرير أن بطاقات الهدايا تُعد من الأهداف المفضلة لهذه الشبكات الإجرامية نظرًا إلى سهولة تحويلها إلى نقد، وصعوبة تتبعها، إضافةً إلى استخدامها أحيانًا كوسيلة لغسل الأموال عبر إصدار بطاقات ذات قيم مرتفعة وإعادة بيعها في أسواق رمادية.
وأكد التحقيق أن المجموعة تقوم قبل تنفيذ أي هجوم بمرحلة استطلاع دقيقة لجمع معلومات مفصلة عن أهدافها، ما يسمح لها بتصميم رسائل تصيد عالية الدقة تحاكي اتصالات رسمية داخل المؤسسات المستهدفة.
وخلصت Unit 42 إلى أن أنشطة حملة “جينغل ثيف” انطلقت من عناوين IP مغربية، حيث أظهرت سجلات Microsoft 365 أنماط تسجيل دخول وأجهزة متكررة مرتبطة بهذه العناوين. كما تبين أن مزودي الاتصالات المستخدمين يتطابقون مع مزودي الاتصالات في المغرب، في إشارة إلى أصل العمليات.
