في Microsoft، نواصل البحث عن طرق مبتكرة لحماية الأشخاص عبر الإنترنت، ويشمل ذلك عدم التسامح مع أولئك الذين ينشئون نسخ احتيالية من منتجاتنا لإيذاء الآخرين. تعمل الحسابات الاحتيالية عبر الإنترنت بمثابة بوابة لمجموعة من الجرائم الإلكترونية، بما في ذلك التصيد الاحتيالي الجماعي وسرقة الهوية والاحتيال وهجمات رفض الخدمة الموزعة (DDoS). لهذا السبب، فإننا اليوم، من خلال نتائج تحليلات قيمة لاستخبارات التهديدات من Arkose Labs، وهي شركة رائدة في مجال الدفاع عن الأمان عبر الإنترنت وإدارة الروبوتات، نلاحق البائع الأول ومنشئ حسابات Microsoft الاحتيالية، وهي مجموعة نطلق عليها اسم Storm-1152. نرسل رسالة قوية إلى أولئك الذين يسعون إلى إنشاء منتجات Microsoft الاحتيالية أو بيعها أو توزيعها للجرائم الإلكترونية: سنراقب وسنلاحظ وسنعمل على حماية عملائنا. يدير Storm-1152 مواقع ويب وصفحات وسائط اجتماعية غير مشروعة، ويبيع حسابات Microsoft الاحتيالية وأدوات لتجاوز برامج التحقق من الهوية عبر منصات تقنية معروفة. تعمل هذه الخدمات على تقليل الوقت والجهد اللازمين للمجرمين لإجراء مجموعة من السلوكيات الإجرامية والمسيئة عبر الإنترنت. حتى الآن، أنشأ Storm-1152 للبيع ما يقرب من 750 مليون حساب Microsoft احتيالي، مما أكسب المجموعة ملايين الدولارات من الإيرادات غير المشروعة، وكلف Microsoft والشركات الأخرى أكثر من ذلك لمكافحة نشاطها الإجرامي. من خلال إجراء اليوم، هدفنا هو ردع السلوك الإجرامي. من خلال السعي إلى إبطاء السرعة التي يشن بها المجرمون الإلكترونيون هجماتهم، فإننا نهدف إلى رفع تكلفة ممارسة الأعمال مع مواصلة تحقيقنا وحماية عملائنا والمستخدمين الآخرين عبر الإنترنت.
سجل الآن لمشاهدة ندوة الويب حسب الطلب التي تتضمن نتائج تحليلات تقرير الدفاع الرقمي من Microsoft لعام 2024.
تعطيل خدمات بوابة الجرائم الإلكترونية
يلعب Storm-1152 دوراً مهماً في النظام البيئي عالي التخصص للجرائم الإلكترونية كخدمة. يحتاج المجرمون الإلكترونيون إلى حسابات احتيالية لدعم أنشطتهم الإجرامية الآلية إلى حد كبير. مع قدرة الشركات على التعرف بسرعة على الحسابات الاحتيالية وإغلاقها، يحتاج المجرمون إلى كمية أكبر من الحسابات للتحايل على جهود التخفيف. بدلاً من قضاء الوقت في محاولة إنشاء آلاف الحسابات الاحتيالية، يمكن للمجرمين الإلكترونيين ببساطة شرائها من Storm-1152 والمجموعات الأخرى. يتيح ذلك للمجرمين تركيز جهودهم على أهدافهم النهائية المتمثلة في التصيد الاحتيالي والبريد العشوائي وبرامج الفدية وأنواع أخرى من الاحتيال وإساءة الاستخدام. تمكن Storm-1152 والمجموعات المشابهة لها العشرات من المجرمين الإلكترونين من تنفيذ أنشطتهم الضارة بشكل أكثر كفاءة وفعالية.
حدد التحليل الذكي للمخاطر من Microsoft مجموعات متعددة متورطة في برامج الفدية وسرقة البيانات والابتزاز والتي استخدمت حسابات Storm-1152. على سبيل المثال، حصلت شركة Octo Tempest، المعروفة أيضاً باسم Scattered Spider، على حسابات Microsoft احتيالية من Storm-1152. Octo Tempest هي مجموعة جرائم إلكترونية ذات دوافع مالية تستفيد من حملات الهندسة الاجتماعية الواسعة لتسوية المنظمات في جميع أنحاء العالم بهدف الابتزاز المالي. تواصل Microsoft تتبع العديد من جهات أخطار برامج الفدية أو الابتزاز الأخرى التي اشترت حسابات احتيالية من Storm-1152 لتعزيز هجماتها، بما في ذلك Storm-0252 وStorm-0455.
في يوم الخميس الموافق 7 ديسمبر، حصلت Microsoft على أمر محكمة من المنطقة الجنوبية لنيويورك للاستيلاء على البنية التحتية الموجودة في الولايات المتحدة والاستيلاء على مواقع الويب غير المتصلة بالإنترنت التي يستخدمها Storm-1152 لإلحاق الضرر بعملاء Microsoft. بينما تركز قضيتنا على حسابات Microsoft الاحتيالية، باعت مواقع الويب المتأثرة أيضاً خدمات لتجاوز الإجراءات الأمنية على منصات التكنولوجيا المعروفة الأخرى. وبالتالي، فإن إجراء اليوم له تأثير أوسع ويستفيد منه مستخدمون خارج نطاق Microsoft. على وجه التحديد، عطلت وحدة الجرائم الرقمية التابعة لشركة Microsoft ما يلي:
- Hotmailbox.me، موقع ويب يبيع حسابات Microsoft Outlook الاحتيالية.
- تسهل مواقع الويب1stCAPTCHA، وAnyCAPTCHA، وNoneCAPTCHAاستخدام الأدوات والبنية التحتية وبيع خدمة CAPTCHA لتجاوز تأكيد الاستخدام وإعداد الحساب بواسطة شخص حقيقي. باعت هذه المواقع أدوات تجاوز التحقق من الهوية لمنصات تقنية أخرى.
- تستخدم مواقع التواصل الاجتماعي بنشاط لتسويق هذه الخدمات.
صور لمواقع ويب Storm-1152 غير المشروعة.
تلتزم Microsoft بتوفير تجربة رقمية آمنة لكل شخص ومؤسسة على هذا الكوكب. نعمل بشكل وثيق مع Arkose Labs لنشر حل دفاع CAPTCHA من الجيل التالي. يتطلب الحل من كل مستخدم محتمل يرغب في فتح حساب Microsoft أن يقر بأنه إنسان (وليس روبوتاً) وأن يتحقق من دقة هذا التمثيل من خلال حل أنواع مختلفة من التحديات.
يقول كيفن جوسشالك، المؤسس والرئيس التنفيذي لشركة Arkose Labs: "Storm-1152 عدو هائل تم إنشاؤه لغرض وحيد هو كسب المال من خلال تمكين الخصوم من ارتكاب هجمات معقدة. تتميز المجموعة بحقيقة أنها أسست أعمال CaaS الخاصة بها في وضح النهار مقارنة بالويب المظلم. كان Storm-1152 بمثابة مصدر قلق نموذجي للإنترنت، حيث يوفر التدريب على أدواته ويقدم أيضاً الدعم الكامل للعملاء. في الواقع، كان Storm-1152 بمثابة بوابة مفتوحة للاحتيال الخطير.”
لا ينتهك نشاط Storm-1152 شروط خدمات Microsoft من خلال بيع حسابات احتيالية فحسب، بل يسعى أيضاً عمداً إلى إيذاء عملاء Arkose Labs وخداع الضحايا الذين يتظاهرون بأنهم مستخدمين شرعيين في محاولة لتجاوز الإجراءات الأمنية.
لقطة شاشة لعملية الاستيلاء على النطاق التي بدأتها Microsoft نظراً لحقيقة أن موقع الويب هذا يحاول بيع حسابات Microsoft التي تم الحصول عليها بطريقة احتيالية
تضمن تحليلنا لنشاط Storm-1152 الكشف والتحليل والقياس عن بعد ومشتريات الاختبار السري والهندسة العكسية لتحديد البنية التحتية الضارة المستضافة في الولايات المتحدة. قدمت التحليل الذكي للمخاطر من Microsoft ووحدة أبحاث Arkose Cyber Threat Intelligence Research (ACTIR) بيانات ونتائج تحليلات إضافية لتعزيز قضيتنا القانونية.
كجزء من تحقيقنا، تمكنا من التأكد من هوية الممثلين الذين يقودون عمليات Storm-1152 - Duong Dinh Tu، وLinh Van Nguyễn (المعروف أيضاً باسم Nguyễn Van Linh) وTai Van Nguyen - ومقرهما في فيتنام. تظهر النتائج التي توصلنا إليها أن هؤلاء الأفراد شغلوا التعليمات البرمجية للمواقع غير المشروعة وكتبوها، ونشروا تعليمات مفصلة خطوة بخطوة حول كيفية استخدام منتجاتهم عبر دروس الفيديو وقدموا خدمات الدردشة لمساعدة أولئك الذين يستخدمون خدماتهم الاحتيالية.
قدمت Microsoft منذ ذلك الحين إحالة جنائية إلى سلطات إنفاذ القانون الأمريكية. نحن ممتنون لشراكتنا مع جهات إنفاذ القانون التي يمكنها تقديم أولئك الذين يسعون إلى إلحاق الأذى بعملائنا إلى العدالة.
قناة Duong Dinh Tu على YouTube تحتوي على "فيديوهات توضيح الطريقة" لتجاوز الإجراءات الأمنية.
إجراء اليوم استمرار لاستراتيجية Microsoft المتمثلة في استهداف النظام البيئي الأوسع للمجرمين الإلكترونيين واستهداف الأدوات التي يستخدمها المجرمون الإلكترونيون لشن هجماتهم. يعتمد على توسعنا في الطريقة القانونية المستخدمة بنجاح لتعطيل البرامج الضارة وعمليات الدولة القومية. عقدنا أيضاً شراكات مع مؤسسات أخرى في جميع أنحاء الصناعة لزيادة تبادل المعلومات الاستخبارية بشأن الاحتيال ومواصلة تعزيز الذكاء الاصطناعي وخوارزميات التعلم الآلي التي تكتشف الحسابات الاحتيالية وتبلغ عنها بسرعة.
كما قلنا من قبل، لا يكتمل أي انقطاع في يوم واحد. تتطلب ملاحقة الجرائم الإلكترونية المثابرة واليقظة المستمرة لتعطيل البنية التحتية الضارة الجديدة. في حين أن الإجراء القانوني اليوم سيؤثر على عمليات Storm-1152، فإننا نتوقع أن تقوم جهات التهديد الأخرى بتكييف تقنياتها نتيجة لذلك. يظل التعاون المستمر بين القطاعين العام والخاص، كما هو الحال اليوم مع Arkose Labs وجهات إنفاذ القانون الأمريكية، ضرورياً إذا أردنا الحد بشكل هادف من تأثير الجرائم الإلكترونية.
متابعة الأمان من Microsoft