أصبحت موضة اختراقات حسابات المستخدمين على الإنترنت هي سرقة هوياتهم الإلكترونية بشكل كامل، فبدلاً من السعي وراء كلمات المرور، تحول اهتمام القراصنة (الهاكرز) نحو بيانات أخرى مثل الأرقام التعريفية لأجهزة الضحايا IP Address وأنواع أنظمة تشغيلهم وكذلك ملفات "الكوكيز"، والفضل في ذلك يرجع لمتاجر إلكترونية تبيع بيانات أجهزة المستخدمين الحساسة إلى القراصنة أو المخترقين، وكان أحدهم متجر "جينيسيس ماركت".
وخرج "جينيسيس ماركت" من العالم الإجرامي للأبد بفضل عملية دولية أدارها المكتب الفيدرالي الأميركي FBI، تحت شعار "عملية وحش الكوكيز Operation Cookies Monster"، وقد صاحبها القبض على 120 شخصاً وإجراء 200 عملية بحث دولي، بحسب بيان رسمي.
وصادرت الهيئة الفيدرالية، بالتنسيق مع السلطات القانونية في بريطانيا وأوروبا وأستراليا وبولندا والسويد وألمانيا وكندا، كافة عناوين الإنترنت الرقمية Domains المتصلة بالمتجر الإجرامي، بالإضافة إلى الكشف عن هوية حوالي 59 ألف شخص من مستخدمي المتجر.
وكان المتجر الإجرامي يبيع بيانات أكثر من 80 مليون حساب إلكتروني مسروقة من حوالي 1.5 مليون حاسوب على مستوى العالم.
وأشار المكتب الفيدرالي إلى أن المتجر حقق مبيعات بقيمة حوالي 8.7 مليون دولار، مؤكداً على أن حجم الخسائر التي أحدثتها الهجمات الإلكترونية المعتمدة على البيانات المعروضة على المتجر سيتخطى عشرات الملايين من الدولارات.
فريد من نوعه
وظهر متجر "جينيسيس ماركت" في سوق الخدمات الإجرامية الإلكترونية في العام 2017، وكان استخدامه في ذلك الوقت يعتمد على نظام الدعوات فقط، فلم يكن المتجر متاحاً لعموم رواد الإنترنت.
وتخصص المتجر في عرض وبيع المعلومات الحساسة الخاصة بحسابات المستخدمين وأجهزتهم، مثل كلمات المرور وعناوين البريد المسروقة أو المسربة من قواعد بيانات مقدمي الخدمات ومطوري التطبيقات، إلى جانب ملفات الارتباط Cookies وهي نوع من الملفات التي تقوم مواقع الويب التي يزورها المستخدم بحفظها داخل متصفحه لتسهيل دخوله من جديد إليها بشكل سهل ومباشر، ويتم الاحتفاظ داخلها بالعديد من البيانات حول جهاز المستخدم وطبيعة استخدامه لتلك المواقع.
وتتضمن ملفات "الكوكيز" بداخلها بيانات مثل نوع نظام تشغيل جهاز المستخدم والرقم التعريفي للجهاز وتتضمن أحياناً الإضافات Plugins التي يثبتها المستخدم في متصفحه، وكلها بيانات تسمح للمخترق (الهاكر) عند الحصول عليها بالدخول إلى حسابات المستخدمين على الخدمات والتطبيقات المختلفة بشكل مباشر، دون الحاجة إلى كلمات مرورهم أو حتى دون أن تعيقهم وسائل المصادقة الثنائية Two Factor Authentication، وبالتالي فإن ذلك لا يثير أية شكوك من جانب مقدمي الخدمات.
ولم تعتمد شهرة متجر "جينسيس ماركت" قط على حجم البيانات المتوفرة لديه، وإنما على جودة تلك البيانات التي توفر للمخترق بيانات متجددة للضحايا على الدوام.
وكان لدى المتجر الإجرامي اتصال مستمر بحوالي 400 ألف نظام مخترق على مستوى 200 دولة حول العالم.
وتتمثل الفكرة الرئيسية في تلك الأنظمة المخترقة في قيام "جينيسيس ماركت" بزرع برمجيات خبيثة داخل تلك الأنظمة، بحيث مهما حاول الضحايا حذف وتغيير كافة بياناتهم الحساسة وكذلك ملفات الارتباط، سيتمكن المتجر من الحصول على البيانات الجديدة بسهولة وتوفيرها لعملائه من المخترقين، وفقا لتحليل قدمته مؤسسة Sophos للأمن المعلوماتي، العام الماضي.
والأمر أشبه بتعرض حاسوبك للإصابة ببرمجية خبيثة، وملاحظة تعرضك لاختراق حساباتك الإلكترونية تباعاً، فتبدأ في تغيير كلمات مرورك لزيادة التأمين، وذلك سيتبعه تغيير في ملفات "الكوكيز"، لكن بعد أيام ستجد أن عمليات الاختراق تتجدد وأجهزة من أماكن مختلفة حول العالم تدخل إلى حساباتك مرة أخرى.
فبحسب تقرير "سوفوس"، لم تكن علاقة عملاء "جينيسيس ماركت" بهذا المتجر الإجرامي مجرد الدفع مرة واحدة لشراء قاعدة بيانات مسربة، وإنما هي أشبه بعلاقة دفع اشتراك دوري لإبقاء تلك البيانات مُحدثة لأطول فترة ممكنة.
وارتبط اسم "جينيسيس ماركت" بالعديد من الاختراقات المدمرة على مدى السنوات الماضية، فقد ادعت شركة تطوير الألعاب "إليكترونيك آرتس" أن تسريب البيانات الشهير الذي تعرضت له في يونيو 2021 كان يقف وراءه مخترق قام بشراء روبوت برمجي من المتجر الإجرامي بسعر 10 دولارات فقط، حيث تمكن من خلاله من النفاذ إلى داخل أحد حسابات موظفي الشركة على خدمة "سلاك".
كيف تحمي نفسك؟
وتعاون المكتب الفيدرالي مع الباحث الأمني "تروي هانت" لوضع سجلات الحسابات التي كانت بياناتها معروضة على متجر "جينيسيس ماركت" قبل مصادرته، داخل خدمته لتتبع تسريبات البيانات HaveIbeenPwned، بحيث يمكن للمستخدمين التأكد مما إذا كانت حساباتهم مخترقة ومسربة بياناتها أم لا، ليتوخوا الحذر ويرفعوا من مستوى أمنهم الإلكتروني.
كما قدمت "FBI" مجموعة من النصائح للمستخدمين كي يتأكدوا من أن حواسيبهم ليست مخترقة من جانب الروبوتات والبرمجيات الخبيثة الخاصة بمتجر "جينيسيس ماركت" ومازالت مستخدمة بواسطة عملائه من المخترقين، وتتمثل تلك النصائح في إجراء الخطوات التالية:
1- تسجيل الخروج من كافة الحسابات المفتوحة على المتصفحات.
2- حذف جميع ملفات الارتباط Cookies وملفات الإنترنت المؤقتة Temporary Files من المتصفحات.
3- تحديث برنامج الحماية ضد البرمجيات الخبيثة ومن ثم عمل مسح كامل للجهاز، أو أن يقوم المستخدم بإجراء عملية استعادة وضع المصنع Factory Reset mode للحاسوب بالكامل، والهدف من أي من الخطوتين هو التأكد من خلو الجهاز من أي فيروسات إلكترونية.
4- بعد إجراء إحدى الخيارين السابقين، يصبح بإمكان المستخدم إجراء عملية تغيير كلمات مرور حساباته بالكامل.
كما أوصى "هانت" بضرورة حرص المستخدم على استخدام برمجيات حماية موثوقة، وتأمين حساباته بكلمات مرور قوية، إلى جانب تأمين الحسابات بالمصادقة الثنائية 2FA أو متعددة الخطوات، مما يصعب عملية اختراقها، مع ضرورة تجنب تحميل التطبيقات والبرمجيات من مواقع مشبوهة أو متاجر غير رسمية.
اقرأ أيضاً: