قد يتم تصنيف حسابك للبيع على الإنترنت المظلم — كشف سلسلة سرقة البيانات الكاملة

كل مرة تدخل فيها اسم المستخدم وكلمة المرور على صفحة التصيد، قد يتم بيعها على الإنترنت المظلم بسعر أقل من مئة دولار. هذا ليس كلامًا مبالغًا فيه، بل هو صناعة كاملة أنشأها الجريمة الإلكترونية. تتبعنا العملية الكاملة لجمع البيانات المسروقة، من جمعها وتداولها حتى استخدامها النهائي، وكشفنا الأعمال السوداء وراء تجارة البيانات على الإنترنت المظلم.

كيف يتم سرقة البيانات؟

قبل أن يبدأ هجوم التصيد الحقيقي، يحتاج المهاجم إلى إنشاء “جهاز” لجمع البيانات. تحليلنا لصفحات التصيد الحقيقية كشف أن المجرمين الإلكترونيين يستخدمون ثلاث طرق رئيسية للحصول على المعلومات التي تدخلها على المواقع المزيفة:

النوع الأول: إعادة توجيه البريد الإلكتروني (تُتخلى عنه تدريجيًا)

بعد أن يدخل الضحية البيانات في نموذج صفحة التصيد، يتم إرسالها تلقائيًا عبر سكربت PHP إلى بريد إلكتروني يسيطر عليه المهاجم. هذه الطريقة تقليدية جدًا، لكنها تعاني من عيوب قاتلة — تأخير في التسليم، وسهولة الاعتراض، وخطر حظر خادم البريد. لذلك، يتم استبدالها تدريجيًا بطرق أكثر خفاءً.

لقد حللنا أداة تصيد موجهة لمستخدمي DHL، حيث يقوم السكربت تلقائيًا بإرسال عنوان البريد الإلكتروني وكلمة المرور إلى بريد معين، لكن مع قيود البريد الإلكتروني، أصبحت هذه الطريقة من الماضي.

النوع الثاني: روبوتات Telegram (تزداد شعبية)

على عكس البريد الإلكتروني، يستخدم المهاجمون روبوتات Telegram، حيث يدمجون رابط API يتضمن رمز الروبوت ومعرف الدردشة. بعد أن يرسل الضحية المعلومات، يتم دفع البيانات مباشرة إلى الروبوت، ويستلم المهاجم إشعارًا فوريًا.

لماذا يفضلون هذه الطريقة؟ لأنها أصعب في التتبع والحظر، والأداء لا يعتمد على جودة استضافة صفحة التصيد. يمكن للمهاجمين استخدام روبوتات مؤقتة، مما يقلل من خطر القبض عليهم.

النوع الثالث: لوحة إدارة آلية (الأكثر احترافية)

المجرمون الأكثر خبرة يشترون أو يستأجرون أُطُر تصيد خاصة، مثل BulletProofLink أو Caffeine، وهي منصات تجارية توفر لوحة تحكم ويب — حيث يتم تجميع جميع البيانات المسروقة في قاعدة بيانات موحدة.

تحتوي هذه اللوحات عادة على وظائف قوية: إحصائيات حسب الدولة والوقت، التحقق التلقائي من صحة البيانات المسروقة، وتصدير البيانات بصيغ متعددة. بالنسبة للجماعات الإجرامية المنظمة، فهي أدوات حاسمة لزيادة الكفاءة. ومن الجدير بالذكر أن حملة تصيد واحدة غالبًا تستخدم عدة طرق جمع في آن واحد.

ما أنواع البيانات التي يتم تسريبها؟ وقيمتها تختلف

ليست كل البيانات المسروقة ذات قيمة متساوية. فداخل المجرمين، تُصنف البيانات إلى مستويات مختلفة، وتختلف أسعارها واستخداماتها.

وفقًا لتحليل إحصائي للسنة الماضية، كانت أهداف هجمات التصيد موزعة كالتالي:

• بيانات الاعتماد للحسابات عبر الإنترنت (88.5%): اسم المستخدم وكلمة المرور. هي الأكثر سرقة لأنها ذات قيمة حتى لو كانت البريد الإلكتروني أو رقم الهاتف فقط — يمكن استخدامها لاستعادة الحساب أو لعمليات تصيد لاحقة.

• المعلومات الشخصية (9.5%): الاسم، العنوان، تاريخ الميلاد، وغيرها. تُستخدم غالبًا في هجمات الهندسة الاجتماعية، أو مع بيانات أخرى للاحتيال الدقيق.

• معلومات البطاقات البنكية (2%): رقم البطاقة، تاريخ الانتهاء، رمز CVV. رغم قلة نسبتها، إلا أن قيمتها عالية جدًا، لذا فهي محمية بشكل صارم.

تعتمد قيمة البيانات أيضًا على خصائص الحساب الإضافية — عمر الحساب، الرصيد، تفعيل التحقق بخطوتين، وربط وسائل الدفع. حساب جديد بدون رصيد، غير مفعل 2FA، يكاد لا يساوي شيئًا، بينما حساب عمره عشر سنوات، ويحتوي على سجل شراء كبير، ومرتبط ببطاقة حقيقية، قد تصل قيمته إلى مئات الدولارات.

كيف تتم تجارة البيانات على السوق المظلم: من السرقة إلى البيع

الوجهة النهائية للبيانات المسروقة هي الإنترنت المظلم. ماذا يحدث هناك؟ دعونا نتتبع سلسلة الصناعة الخفية هذه:

الخطوة الأولى: حزم البيانات وبيعها بالجملة

البيانات المسروقة لا تُستخدم فور جمعها، بل تُعبأ في ملفات مضغوطة — غالبًا تحتوي على ملايين السجلات من عمليات تصيد وتسريبات بيانات مختلفة. تُباع هذه “حزم البيانات” بأسعار زهيدة على المنتديات المظلمة، وأحيانًا بسعر 50 دولارًا فقط.

من يشتري هذه البيانات؟ ليس القراصنة الذين ينفذون الاحتيال مباشرة، بل محللو البيانات على الإنترنت المظلم — الوسطاء في سلسلة التوريد.

الخطوة الثانية: التصنيف، التحقق، وبناء الملفات

يقوم محللو البيانات على الإنترنت المظلم بمعالجة البيانات المشتراة. يصنفونها حسب النوع (البريد الإلكتروني، الهاتف، البطاقات، إلخ)، ثم يشغلون سكربتات تلقائية للتحقق — مثل فحص ما إذا كان كلمة مرور حساب Facebook يمكن استخدامها لتسجيل الدخول إلى Steam أو Gmail.

هذه الخطوة حاسمة، لأن المستخدمين يميلون لاستخدام كلمات مرور متشابهة أو متماثلة عبر مواقع متعددة. البيانات القديمة التي تم تسريبها قبل سنوات، قد تفتح الآن أبواب حسابات أخرى. الحسابات التي تم التحقق منها وما زالت صالحة للدخول تُباع بأسعار أعلى.

بالإضافة إلى ذلك، يربط المحللون البيانات من هجمات مختلفة، ليكوّنوا ملفات رقمية كاملة عن مستخدم معين: كلمة مرور قديمة من تسريب، بيانات تسجيل من نموذج تصيد، رقم هاتف ترك على موقع احتيالي — كل هذه القطع غير المرتبطة ظاهريًا تُجمع لتكوين ملف كامل عن المستخدم.

الخطوة الثالثة: البيع في السوق المظلم بشكل محترف

البيانات التي تم التحقق منها ومعالجتها تُعرض على المنتديات أو قنوات Telegram — “متاجر” على الإنترنت تعرض الأسعار، وصف المنتجات، وتقييمات المشترين، تمامًا كأي متجر إلكتروني.

أسعار الحسابات تختلف بشكل كبير. حساب وسائط اجتماعية مُحقق قد يُباع مقابل 1-5 دولارات، بينما حساب بنكي نشط، مرتبط ببطاقة حقيقية، ومفعل 2FA، ذو رصيد كبير، قد يُباع بمئات الدولارات. السعر يعتمد على عوامل متعددة: عمر الحساب، الرصيد، وسائل الدفع المرتبطة، حالة 2FA، وسمعة المنصة.

الخطوة الرابعة: استهداف دقيق للأهداف ذات القيمة العالية

البيانات على الإنترنت المظلم لا تُستخدم فقط لعمليات الاحتيال الجماعي، بل تُستخدم أيضًا في هجمات “القرش الكبير” — استهداف الشركات العليا، المحاسبين، أو مديري أنظمة تكنولوجيا المعلومات.

تخيل سيناريو: شركة A تتعرض لعملية تسريب بيانات، تتضمن معلومات عن موظف سابق، وهو الآن مدير في شركة B. يستخدم المهاجمون معلومات استخباراتية مفتوحة (OSINT) لتأكيد وظيفة البريد الإلكتروني الحالية لهذا الشخص. ثم يرسلون بريدًا تصيديًا يبدو أنه من مدير شركة B، ويستشهدون بتفاصيل من عمله السابق — كلها من البيانات التي اشتروها من السوق المظلم. هذا يقلل بشكل كبير من يقظة الضحية، ويمنح المهاجم فرصة لاختراق شركة B بالكامل.

وهذا الأسلوب لا يقتصر على الشركات فقط، بل يستهدف أيضًا الأفراد ذوي الرصيد البنكي العالي، أو من يمتلكون وثائق مهمة (مثل مستندات طلب قرض).

الحقيقة المرعبة عن البيانات المسروقة

البيانات المسروقة مثل سلعة لا يمكن التخلص منها أبدًا — تُجمع، تُدمج، تُعاد تغليفها، وتُستخدم مرارًا وتكرارًا. بمجرد دخول بياناتك إلى السوق المظلم، قد تُستخدم بعد شهور أو سنوات لاستهدافك بشكل دقيق، أو للابتزاز، أو لسرقة هويتك.

هذا ليس مبالغًا فيه. هذه هي واقع البيئة الرقمية اليوم.

التدابير الوقائية التي يجب اتخاذها الآن

إذا لم تتخذ بعد إجراءات لحماية حساباتك، فابدأ الآن:

اتخذ إجراءات فورية (لمنع تسريب البيانات):

1. ضع كلمة مرور فريدة لكل حساب. أبسط وأقوى وسيلة حماية. إذا تسربت على منصة، لن يؤثر ذلك على حساباتك الأخرى.
2. فعل التحقق بخطوتين (MFA/2FA) في جميع الخدمات التي تدعم ذلك، لمنع المهاجمين حتى لو حصلوا على كلمة مرورك.
3. تحقق دوريًا من تسريب بياناتك عبر خدمات مثل Have I Been Pwned، وتأكد من أن بريدك الإلكتروني لم يُذكر في تسريبات معروفة.

إجراءات التصرف بعد أن تصبح ضحية:

1. إذا تسربت معلومات بطاقة الائتمان، اتصل بالبنك لإيقافها وتجميدها.
2. غيّر كلمات المرور للحسابات المسروقة، وغيّرها في جميع الخدمات التي تستخدم نفس الكلمة.
3. راقب سجل الدخول إلى حساباتك، وأوقف أي جلسات غير معتادة.
4. إذا تم سرقة حسابات وسائل التواصل أو الرسائل الفورية، أخبر المقربين منك ليكونوا حذرين من رسائل احتيالية باسمك.
5. كن حذرًا من أي رسائل أو مكالمات أو عروض غير متوقعة — قد تبدو موثوقة، لكنها قد تكون من المهاجمين الذين يستخدمون بياناتك المسروقة من السوق المظلم.

وجود السوق المظلم غيّر قواعد لعبة الجريمة الإلكترونية. البيانات لم تعد سلعة لمرة واحدة، بل يمكن إعادة استخدامها مرارًا وتكرارًا. أفضل طريقة لحماية نفسك هي أن تبدأ الآن، وليس عندما تتعرض للهجوم وتندم afterward.