محاولة اختراق تكشف كيف يختبر القراصنة أنظمة الدفع ببيانات مزيفة
في واقعة جديدة تعكس تطور أساليب الهجمات السيبرانية، كشفت شركة Resecurity المتخصصة في رصد التهديدات الرقمية عن تفاصيل محاولة اختراق استهدفت بيئة اختبارية صُممت لتشبه بيانات الأعمال الحقيقية، بما في ذلك بيانات عملاء ومعاملات دفع إلكترونية.
الواقعة تسلط الضوء على الكيفية التي يختبر بها المهاجمون أنظمة الدفع، قبل الانتقال إلى استهداف منصات حقيقية، وما تحمله هذه الأساليب من مخاطر متزايدة على قطاع الخدمات المالية.
وبحسب Resecurity، فإن البيئة المستهدفة لم تكن تحتوي على بيانات حقيقية، بل اعتمدت على أكثر من 28 ألف سجل استهلاكي مُنشأ بشكل اصطناعي، إضافة إلى ما يزيد على 190 ألف سجل لمعاملات دفع وهمية.
ورغم كون هذه البيانات غير حقيقية، فإن تصميمها جاء مطابقًا إلى حد كبير لصيغة واجهات البرمجة الرسمية لمنصة Stripe، وهو ما يجعلها بيئة مثالية لاختبار قدرات أنظمة الحماية ورصد سلوك المهاجمين.
الشركة أوضحت أن الفاعل الخبيث بدأ في محاولة أتمتة عملية سحب البيانات في ديسمبر الماضي، مستخدمًا أدوات مصممة لتنفيذ طلبات متكررة بكثافة عالية. وخلال فترة زمنية قصيرة نسبيًا، ما بين 12 و24 ديسمبر، تم تسجيل أكثر من 188 ألف طلب وصول، في محاولة واضحة لاستخراج أكبر قدر ممكن من البيانات دفعة واحدة، وهو أسلوب شائع في الهجمات التي تستهدف قواعد بيانات الدفع أو معلومات العملاء.
اللافت في هذه المحاولة هو اعتماد المهاجم على أعداد كبيرة من عناوين IP السكنية عبر شبكات بروكسي، وهي تقنية تهدف إلى إخفاء المصدر الحقيقي للهجوم وتجاوز أنظمة الحظر التقليدية. هذا الأسلوب يُستخدم عادة لإرباك أنظمة المراقبة، وجعل حركة الهجوم تبدو وكأنها صادرة عن مستخدمين عاديين من مواقع جغرافية مختلفة، بدلًا من مصدر واحد واضح.
وخلال فترة الرصد، أكدت Resecurity أنها تمكنت من جمع بيانات تقنية تفصيلية حول تكتيكات وأساليب المهاجم، بما في ذلك البنية التحتية المستخدمة، وأنماط الطلبات، وطريقة توزيع الهجوم زمنيًا. هذه البيانات، التي تُعرف في مجال الأمن السيبراني باسم “القياسات السلوكية”، تُعد ذات قيمة كبيرة في تطوير آليات دفاع أكثر دقة، خاصة ضد الهجمات المؤتمتة واسعة النطاق.
ومن بين النقاط التي كشفت عنها الشركة، أن المهاجم تعرّض لأخطاء تقنية متكررة أثناء استخدام شبكات البروكسي، ما أدى في بعض اللحظات إلى كشف عناوين IP حقيقية ومؤكدة. هذه الثغرات المؤقتة في الاتصال، الناتجة عن فشل بعض خوادم الوساطة، منحت فريق الرصد فرصة لتتبع مصادر الهجوم بشكل أدق، قبل أن تعود العناوين للاختفاء خلف طبقات الإخفاء المعتادة.
وأكدت Resecurity أن هذه المعلومات جرى مشاركتها مع جهات إنفاذ القانون المختصة، في إطار التعاون بين شركات الأمن السيبراني والسلطات المعنية، بهدف رصد التهديدات العابرة للحدود وملاحقة القائمين عليها. وعلى الرغم من أن البيئة المستهدفة كانت وهمية، فإن الشركة شددت على أن مثل هذه الهجمات غالبًا ما تكون مرحلة استطلاعية، تسبق استهداف أنظمة حقيقية تحتوي على بيانات مالية حساسة.
وتأتي هذه الواقعة في وقت يشهد فيه قطاع المدفوعات الرقمية تصاعدًا ملحوظًا في محاولات الاختراق، مدفوعة بالتوسع الكبير في التجارة الإلكترونية واعتماد الشركات على واجهات برمجة التطبيقات لتبادل البيانات. ويشير خبراء أمن المعلومات إلى أن القراصنة باتوا يعتمدون بشكل متزايد على “البيئات الاختبارية” لاختبار أدواتهم، نظرًا لتشابهها الكبير مع الأنظمة الحقيقية، مع مخاطر أقل في حال الرصد أو الفشل.
الرسالة الأبرز من هذه الحادثة، بحسب محللين، هي أن حماية البيانات لم تعد تقتصر على الأنظمة الإنتاجية فقط، بل يجب أن تمتد إلى بيئات الاختبار والتطوير، التي قد تشكل نقطة ضعف غير متوقعة. كما تعكس الواقعة أهمية استخدام مصائد رقمية مدروسة، تتيح للشركات فهم عقلية المهاجمين، بدل الاكتفاء برد الفعل بعد وقوع الضرر.
وفي ظل هذا المشهد، يبقى الوعي بأساليب الهجوم الحديثة، والاستثمار في أنظمة رصد متقدمة، عاملين حاسمين في تقليل المخاطر، خاصة مع تطور أدوات الأتمتة وإخفاء الهوية التي يستخدمها القراصنة لاختبار حدود الأمن السيبراني حول العالم.