كلمة واحدة تناسب الآربع فراغات🤔

كشف شبكة احتيال رقمي تستهدف المحافظ الإلكترونية الأردنية!
من شهرين تقريبا او اكثر في حملة تدار على نطاق واسع وتستهدف الاردن، من خلال حملات اعلانية على فيسبوك وانستغرام عن طريق منشورات تقدم وعود للمستخدمين بالحصول على مكافآت ودعم مادي ورصيد اضافي، عن طريق التسجيل من خلال محفظة ZainCash او محفظة Orange او UWallet. بمجرد ما تضغط على الرابط في المنشور بيتم تحويلك لصفحة تسجيل دخول مزورة للمحفظة، بإدخالك للبيانات الخاصة بمحفظتك ورمز OTP يتم ارسالها لطرف اخر وتحدث عملية الاختراق ويتم سحب الرصيد من خلال خدمة كليك.
بسبب انتشار هاي النوع من الحملات ووقوع ناس قريبين مني ضحايا الها؛ فقررت خلال الاسابيع الماضية اجمع معلومات واحاول اعرف مين وراها!
الجمع والتحليل🔍:
اول شغلة عملتها رحت جمعت كل الحملات اللي ظهرتلي على فيسبوك خلال هاي المدة وكان عددها 15 حملة بمسميات وصور منشور مختلفة(مثل اللي بالصورة)، بعد هيك بدأت افتح هاي الروابط بالمتصفح وكان ظاهر انه كلها صفحات تسجيل دخول مزورة، بعدين بلشت اقرأ بال source code للصفحات ولاحظت شغلة انه الكود مليان Instructions وهاي غالبا ممكن تدل على ان الكود مولّد ب AI، غير انه صور المنشور وطريقة الكتابة عليها كمان كانت واضحة انه مولدة ب AI وهون احنا بنروح باتجاه واحد انه هاي الحملة AI-Driven Phishing Campaign.
بعد هيك اخذت رابط واحد من روابط هاي الصفحات وفتحته بالمتصفح وعبيت بيانات عشوائية بنموذج تسجيل الدخول وشغلت Burpsuite عشان اعمل intercept لل request ولاحظت انه المعلومات اللي دخلتها بيتم ارسالها ل Bot تيليجرام وكان ظاهر ال Bot Token وال Chat ID فخزنتهم عندي وبعثت ال request واستنيت ال response من تيليجرام فرجعلي بشوية معلومات Juicy منها:
Bot Name اسم البوت على تيليجرام
Bot Username يوزر البوت على تيليجرام
Admin Username يوزر الادمن للبوت على تيليجرام
Admin Name اسم الحساب الادمن للبوت
بعدين جمعت كل ال bot token وchat id لل 15 رابط اللي معي ولتسريع العملية رحت استخدمت ادوات مثل Matkap و TeleTracker وجمعت Admin username الهم كلهم على تيليجرام وبعد هيك فتحت تطبيق تيليجرام وبلشت اشيك على الحسابات واحد واحد يمكن الاقي اي دليل او اسم شخص يوصلني للمخترق وللاسف كل الحسابات كانت باسماء وهمية مثل Hero او اسماء عشوائية مثل هيك sskhhhibapxx باستثناء حساب واحد كان باسم "ابو كذا" كذا: كان اسم لعائلة اردنية، وصورة العرض صورة شخص معالم وجهه تقريبا واضحة، مباشرة اخذت الاسم وبحثت عنه بانستغرام ولقيت حساب public بيطابق المعلومات فجمعت كل معلوماته العامه من خلال حساباته وبلشت احللها وكان عندي حدس انه مش هو الشخص اللي ورا الحملة وغالبا تم انتحال شخصيته، وهو اسلوب بيستخدمه هالنوع من المحتالين للتضليل. 
مرة ثانية رجعت عالبوتات اللي جمعتها واستخدمت Telegram API Endpoint بتسمحلي اقرأ الرسائل القديمة للبوت getUpdates فبلشت اراجع الرسائل وما كان فيها اي اشي ملفت كانت كلها بيانات حسابات مستخدمين مخترقة، ضليت ارجع لبداية سجل الرسائل فلقيت شوية صور كانت عبارة عن سكرين شوت، وحده كانت سكرين شوت لاسم حساب كليك من تطبيق بنك الاهلي، ووحده سكرين شوت لاسم كليك من داخل محفظة زين كاش وكان واضح رقم الموبايل للمحفظة، مباشرة اخذت اسامي كليك وعن طريق تطبيق البنك طلعت الاسامي الرباعية لاصحابها وكمان اخذت رقم الموبايل وبحثت عنه بتطبيقات ال Caller ID زي TrueCaller وطلعت اسم ثنائي وبعدين اخذت كل البيانات اللي جمعتها وحطيتها بمخطط واحد لتسهيل قراءتها والربط بينها (استخدمت Obsidian)
نقطة التحول💀:
صفنت بمخطط البيانات اللي جمعتها كلها والاسماء والارقام والحسابات وكنت عارف انه هذول مجرد ضحايا او اشخاص تم انتحال شخصيتهم وكان عندي شك اصلا انه المحتال من داخل الاردن؛
مين ممكن يخاطر ويبعث بشكل مباشر على محفظه باسمه؟
مين ممكن يحط رقم تليفون شخصي على محفظة بيجمع فيها فلوس من محافظ مسروقة؟
مين ممكن يستخدم رموز دولة واسماء مؤسسات اردنية للترويج لحملة احتيال رقمي على منصات تواصل اجتماعي؟
واثناء ما انا صافن وحاس انه ما وصلت لإشي كنت فاتح فيسبوك وبقلب بالمنشورات ولا طالعلي منشور جديد لحملة انا ما كنت شايفها من قبل، مباشرة بدون تفكير فتحت الرابط سحبت بيانات ال bot وحاولت اقرأ المسجات اللي بتنبعث عليه وكان لسا مش واصل ولا مسج فحكيت هاي فرصتي😁 وقررت ابعث رسالة خطأ معينة عالبوت عشان صاحب البوت يفكر انه فيه عنده مشكلة بالربط ولهيك ما وصل عنده ضحايا، ومع الرسالة بحط رابط اجمع فيه بيانات المحتال اذا ضغط عليه، فرحت اختصرت رابط رسمي من telegram برابط IP logger واختصرت الرابط الناتج برابط ثالث من خدمة اختصار روابط موثوقة وبعثتها عالبوت مع هاي الرسالة:
API Connection/Response Failure: https://(الرابط المختصر)
ارسلته واستنيت ساعه ساعتين وما دخل عليه، ثاني يوم صحيت فتحت اللابتوب اشيك لقيت دخول عالرابط👀، مباشره فتحت اقرأ البيانات وراحت عيني على Country وهون كانت المفاجأة:
📍Casablanca, Morocco 🇲🇦
بالإضافة لبيانات ثانية بتخص المحتال غير الدولة مثل:
Public ip address, Local ip address, ISP, Browser, OS , Device info, Screen resolution, language
ورحت بعد هيك باستخدام ال public ip address لقيت بورت مفتوح عنده وقدرت اعرف حتى نوع الراوتر اللي بيستخدمه وكان راوتر منزلي من نوع هواوي (استخدمت shodan).
تدمير الحملة💣(الخاتمة):
بعد ما جمعت كل المعلومات اللي بدي اياها رحت لمرحلة كيف اعطل او اوقف الحملة عشان ما يقع فيها كمان ضحايا، ولانه ما كان معي صلاحيات اعمل revoke للبوتات فرحت استخدمت Burpsuite Intruder وغرقت البوت بالاف ال Requests من البيانات المغلوطة (ارقام موبايل عشوائية+ كلمات مرور عشوائية) عشان تضيع بينها البيانات الصحيحة، وبعد هيك رحت اعملت Report وقدمته لكل من:
Facebook كون الحملة الاعلانية كانت شغالة عليه
Google كون بعض الصفحات كانت مستضافة على بلوجر
vercel بعض الصفحات كانت مستضافة عليه
Telegram كون البيانات كان بيتم جمعها عليه من خلال البوت
اعملت تقرير شديد اللهجة وبصور بتدل على انه هاي حملة Phishing وفيها Credentials Harvesting وخلال 48 ساعه كان جزء كبير منها متوقف.
ملاحظات مهمة:
- ممكن يطلع حملات جديدة غيرها وخصوصا انه هالنوع من الحملات بيستغل المناسبات مثل (راس السنة، اعياد وطنية، وغيره...) فالحل هو الوعي.
- ممكن تكون الشبكة مدارة ومشغلة بالكامل من قبل مغاربة ولكنها عبارة عن نموذج Phishing as a service (PhaaS)
- هذا المحتوى لأغراض التوعية الأمنية فقط، وجميع البيانات التي تم جمعها كانت منشورة بشكل عام ولم يتم كشفها او التشهير بها.
- في حال تعرضت لعملية احتيال رقمي دائما توجه الى وحدة الجرائم الالكترونية وتقدم ببلاغ رسمي.
وبالنهاية نتمنى السلامة لجميع المواطنين ومحافظهم الالكترونية...

هفضالكم من عنيا.