MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Browser

Scattered Spider Understanding Help Desk Scams


Scattered Spider: فهم خدع الدعم الفني وكيفية حماية مؤسستك

في أعقاب الهجمات البارزة على تجار التجزئة في المملكة المتحدة مثل Marks & Spencer وCo-op، تصدرت مجموعة Scattered Spider عناوين الأخبار، حتى وصلت إلى وسائل الإعلام العامة بسبب ضخامة الأضرار — حيث تشير التقديرات إلى خسائر قد تصل إلى مئات الملايين لشركة M&S وحدها.

هذا النوع من التغطية الإعلامية يُعدّ ذا قيمة كبيرة لمجتمع الأمن السيبراني، إذ يسلّط الضوء على المعارك اليومية التي تخوضها فرق الحماية. لكنه في الوقت ذاته قد يخلق ضجيجًا يصعب معه رؤية الصورة الكاملة.

القصة الأبرز في الحملة الأخيرة ضد تجار التجزئة في المملكة المتحدة هي استخدام خدع الدعم الفني، والتي غالبًا ما تبدأ باتصال هاتفي من المهاجم إلى مركز الدعم، مستعينًا ببعض المعلومات مثل البيانات الشخصية (PII) وربما حتى كلمات المرور، وبفضل طلاقته في اللغة الإنجليزية، يتمكن من خداع موظف الدعم للحصول على وصول إلى حساب المستخدم.

أساسيات خدع الدعم الفني

الهدف من هذه الخدعة هو إقناع موظف الدعم بإعادة تعيين بيانات الاعتماد أو وسائل التحقق متعددة العوامل (MFA) لحساب معين، بحيث يمكن للمهاجم السيطرة عليه. غالبًا ما يُستخدم سيناريو بسيط مثل: "اشتريت هاتفًا جديدًا، هل يمكن إزالة التحقق القديم لأتمكن من تفعيل الجديد؟"

يُرسل رابط إعادة تعيين MFA إلى البريد الإلكتروني أو الهاتف، لكن بعد بناء مستوى معين من الثقة مع الدعم، يطلب المهاجم إرسال الرابط إلى عنوان آخر أو رقم جديد — مما يُمكّنه من استلامه مباشرة.

بعد ذلك، يستخدم خاصية إعادة تعيين كلمة المرور الذاتية (مثل في Okta أو Entra)، بما أنه يملك الآن وسيلة التحقق، ليتمكن من السيطرة الكاملة على الحساب.

المقلق هو أن معظم مراكز الدعم تتبع نفس الإجراء مع أي حساب، ما يجعل استهداف الحسابات ذات الامتيازات العالية (مثل المسؤولين) سهلاً، ويلغي الحاجة إلى تصعيد الامتيازات أو التحرك الجانبي داخل الشبكة.

وبالتالي، أصبحت خدع الدعم الفني وسيلة فعّالة لتجاوز MFA والسيطرة على الحساب — وهي نقطة البداية لأي هجوم يشمل سرقة البيانات أو نشر برمجيات فدية.

لكن، هذا ليس أمرًا جديدًا

ما لا توضحه التقارير بالشكل الكافي هو أن Scattered Spider تستخدم هذه الخدع منذ عام 2022. حيث تضمنت هجماتهم الأولى على شركات مثل Twilio، وLastPass، وRiot Games، وCoinbase أساليب الهندسة الاجتماعية الصوتية (vishing).

كما تضمنت هجمات بارزة مثل:

  • Caesars – أغسطس 2023: انتحال شخصية موظف دعم تقني وإقناع مركز الدعم بإعادة تعيين بيانات الدخول، تلاها سرقة قاعدة بيانات عملاء ودفع فدية قدرها 15 مليون دولار.
  • MGM Resorts – سبتمبر 2023: استخدام معلومات من LinkedIn لانتحال شخصية موظف، وتمت سرقة 6 تيرابايت من البيانات، وحدث انقطاع استمر 36 ساعة، مع خسائر تقدر بـ 100 مليون دولار وتسوية دعوى جماعية بقيمة 45 مليون دولار.
  • Transport for London – سبتمبر 2024: تسريب بيانات بنكية لـ 5,000 مستخدم، وإجبار 30,000 موظف على الحضور للتحقق من الهوية وإعادة تعيين كلمات المرور، مع اضطرابات استمرت لأشهر.

أي أن هذه الأساليب ليست جديدة، بل تزداد حدة وتأثيرًا.

تجنب الفخاخ الشائعة في مراكز الدعم

رغم انتشار النصائح لتأمين مراكز الدعم، إلا أن معظمها لا يزال قابلًا للاستغلال أو صعب التطبيق.

يجب أن تكون المؤسسات مستعدة لإدخال طبقة من "الاحتكاك" في عملية الدعم، مثل:

  • طلب موافقة متعددة الأطراف عند إعادة تعيين حسابات إدارية.
  • إلزام التحقق الشخصي في حال تعذر اتباع الإجراءات عن بُعد.
  • تجميد عمليات إعادة التعيين الذاتية عند ملاحظة نشاط مشبوه، مع تدريب الموظفين على كشف هذا النوع من الهجمات.

لكن، حتى الإجراءات الاحترازية مثل إنهاء المكالمة وإعادة الاتصال برقم الموظف المسجل قد تفشل بسبب عمليات تبديل شرائح SIM (SIM Swapping).

وحتى اعتماد التحقق عبر الكاميرا لم يعد كافيًا بسبب تطور تقنيات التزييف العميق (Deepfake).

طبيعة مراكز الدعم "الودية" وسعيها لتحقيق مؤشرات الأداء قد تجعلها أكثر عرضة للخداع — خصوصًا تلك البعيدة عن العمليات اليومية، أو تلك التي يتم الاستعانة بها من الخارج.

مقارنة خدع الدعم بأساليب أخرى

Scattered Spider تعتمد على مجموعة واسعة من الأساليب القائمة على الهوية، ومنها:

  • التصيد عبر البريد أو الرسائل النصية (smishing).
  • استبدال شريحة SIM لتجاوز MFA المعتمد على الرسائل.
  • الإرهاق من رسائل MFA (Push Bombing).
  • الهندسة الاجتماعية عبر المكالمات الصوتية (Vishing).
  • السيطرة على سجلات DNS الخاصة بالشركة عن طريق انتحال شخصية عند مزود النطاقات.
  • استخدام أدوات AiTM (مثل Evilginx) لسرقة جلسات المصادقة المباشرة.

هذه الأساليب تزداد شعبية خصوصًا لأن أدوات التصيد الحديثة أصبحت تتجاوز معظم وسائل الحماية المعروفة، وتستخدم طرق توزيع خبيثة بعيدة عن البريد الإلكتروني لتفادي الاكتشاف.

Scattered Spider تتعمد تجاوز أنظمة الحماية

تتبع المجموعة مسارًا واضحًا لتجاوز الدفاعات التقليدية من خلال استهداف الهوية أولاً:

  • سرقة البيانات من الخدمات السحابية، حيث المراقبة أقل قوة، وغالبًا لا تمتلك المؤسسات سجلات أو أدوات لاكتشاف السلوك الضار.
  • نشر برامج الفدية عبر بيئات VMware من خلال اختراق المستخدمين ذوي الامتيازات ثم الدخول إلى ESXi لتجاوز برامج الحماية.

الرسالة الأساسية؟ تجاوز كل وسائل الحماية الموجودة عندك من خلال السيطرة على الهوية.

الخلاصة

يمكن اعتبار Scattered Spider تهديدًا من نوع "ما بعد MFA"، حيث يركزون على تجاوز كل أشكال الحماية المعروفة من خلال اختراق الهويات.

لا تركز فقط على حماية الدعم الفني — بل فكّر بشكل أوسع في حماية سطح الهجوم المرتبط بالهوية، وسد الفجوات في MFA، والحسابات المحلية، والتطبيقات غير المحمية، والتكاملات المشبوهة.