على عكس هاكرز التشفير من روسيا وكوريا الشمالية الذين يسعون عادةً وراء المال، فإن أعضاء عصابة Comm غالبًا ما يريدون جذب الانتباه ويبحثون عن متعة المقالب.
كتبه: بن فايس، جيف جون روبرتس
ترجمة: لوفي، أخبار فورايت
!
الرئيس التنفيذي والمؤسس المشارك لشركة Coinbase، بريان أرمسترونغ، ألقى خطابًا في حدث في بنغالور، الهند في عام 2022
في 15 مايو 2025 ، كشفت Coinbase عن سرقة عشرات الآلاف من البيانات الشخصية لعملائها ، وهو أكبر حادث أمني في تاريخ الشركة ، ومن المتوقع أن يتسبب في خسائر تصل إلى 400 مليون دولار. لم يكن خرق البيانات رائعا فقط لحجمه ، ولكن أيضا لتكتيكات المتسللين: رشوة موظفي خدمة العملاء في الخارج للحصول على معلومات سرية للعملاء.
أعلنت Coinbase علنًا أنها ستدفع مكافأة قدرها 20 مليون دولار للمبلغين الذين يقدمون أدلة تساعد على القبض على المجرمين وإدانتهم، ولكنها كشفت القليل جدًا عن هوية المهاجم أو تفاصيل الاختراق.
كشفت دراسة حديثة لمجلة "فورتشن" (بما في ذلك مراجعة رسائل البريد الإلكتروني بين Coinbase وهاكر) عن تفاصيل جديدة حول الحادث، مما يوحي بأن شبكة فضفاضة تتكون من هاكر شاب يتحدث الإنجليزية هي جزء من المسؤولين. في الوقت نفسه، تسلط نتائج التحقيق الضوء على ما يسمى بـ BPO (وحدات تعهيد العمليات التجارية) كحلقة ضعف في التشغيل الأمني للشركات التقنية.
خيانة داخلية: خدمة العملاء المستعانة بها تصبح نقطة الاختراق
تبدأ القصة في شركة صغيرة مدرجة في نيو برونفيلز، تكساس، تُدعى TaskUs. مثل غيرها من شركات BPO، تقدم الشركة خدمات العملاء لشركات التكنولوجيا الكبرى من خلال توظيف موظفين من الخارج بتكلفة منخفضة. ووفقًا لمتحدث باسم الشركة، في يناير من هذا العام، قامت TaskUs بفصل 226 موظفًا كانوا يعملون لصالح Coinbase من مركز خدماتها في إندور، الهند.
وفقًا للملفات المقدمة إلى لجنة الأوراق المالية والبورصات الأمريكية، منذ عام 2017، كانت TaskUs توفر موظفي خدمة العملاء لشركة Coinbase، وقد وفرت هذه الشراكة تكاليف عمالية كبيرة لهذه العملاق الأمريكي في مجال التشفير. لكن المشكلة هي: عندما يرسل العملاء رسائل بريد إلكتروني للاستفسار عن حساباتهم أو عن منتجات Coinbase الجديدة، فمن المحتمل أنهم يتحدثون مع موظفي TaskUs في الخارج. نظرًا لأن أجور هؤلاء الوكلاء أقل من موظفي الولايات المتحدة، فإنهم أكثر عرضة للرشوة.
"في وقت سابق من هذا العام، اكتشفنا أن شخصين قد وصولا بشكل غير قانوني إلى معلومات أحد عملائنا،" قال متحدث باسم TaskUs لمجلة Fortune عند الإشارة إلى Coinbase، "نعتقد أن هذين الشخصين كانا يعملان لصالح عملية إجرامية منظمة أوسع تستهدف Coinbase، والتي أثرت أيضًا على العديد من الموردين الآخرين الذين تقدم Coinbase خدماتها لهم."
وفقا للإيداعات التنظيمية ل Coinbase ، قامت TaskUs بتسريح الموظفين في يناير ، بعد أقل من شهر من اكتشاف Coinbase أن بيانات العملاء قد سرقت (ملاحظة: اكتشفت Coinbase خرق البيانات في ديسمبر 2024). يوم الثلاثاء ، اتهمت دعوى قضائية جماعية فيدرالية مرفوعة في نيويورك نيابة عن عملاء Coinbase TaskUs بالإهمال في حماية بيانات العملاء. وقال متحدث باسم TaskUs: "على الرغم من أننا غير قادرين على التعليق على الدعوى القضائية ، إلا أننا نعتقد أن هذه المزاعم لا أساس لها من الصحة ، وسندافع عن أنفسنا ، فإننا نجعل حماية بيانات العملاء أولويتنا القصوى وسنواصل تعزيز بروتوكولات الأمان العالمية وبرامج التدريب الخاصة بنا".
قال مصدر مطلع على الحادث الأمني إن هاكر تمكنوا أيضًا من الهجوم على بعض شركات BPO الأخرى، وأن طبيعة البيانات المسروقة كانت مختلفة في كل حادث.
هذه البيانات المسروقة غير كافية لتمكين الهاكر من اختراق خزينة التشفير الخاصة بـ Coinbase، لكنها توفر بالفعل معلومات غنية تساعد المجرمين في انتحال شخصية خدمة عملاء Coinbase الزائفة، والتواصل مع العملاء وإقناعهم بتسليم أصولهم المشفرة. وأفادت الشركة أن الهاكر سرق بيانات أكثر من 69 ألف عميل، لكنها لم توضح عدد أولئك الذين أصبحوا ضحايا لما يسمى بـ "خداع الهندسة الاجتماعية". في هذه الحالة، يتعلق خداع الهندسة الاجتماعية بالمجرمين الذين يستخدمون البيانات المسروقة لانتحال شخصية موظفي Coinbase، persuading الضحايا على نقل أصولهم المشفرة.
قالت Coinbase في بيان: "كما كشفنا سابقًا، اكتشفنا مؤخرًا أن أحد المتسللين قد طلب من خدمة العملاء في الخارج الحصول على معلومات حسابات العملاء التي يمكن تتبعها حتى ديسمبر 2024. لقد أبلغنا المستخدمين المتأثرين والهيئات التنظيمية، وقطعنا الاتصال مع موظفي TaskUs المعنيين وغيرهم من خدمات العملاء في الخارج، وعززنا الرقابة." وأضاف البيان أنه يتم تعويض العملاء الذين فقدوا أموالًا في الاحتيال.
إن عمليات الاحتيال الهندسية الاجتماعية التي تتظاهر بأنها تمثل الشركات ليست جديدة، ولكن الهجمات التي يشنها هاكر على شركات BPO نادرة للغاية. على الرغم من عدم تحديد الجناة بشكل واضح بعد، إلا أن بعض الأدلة تشير بشدة إلى مجموعة غير متماسكة من الهاكر الشباب الناطقين بالإنجليزية.
عصابة هاكر المراهقين: "إنهم قادمون من ألعاب الفيديو"
في الأيام التي تلت الكشف عن حادث تسرب بيانات Coinbase في منتصف مايو، تواصلت مجلة فورتشن عبر تيليجرام مع رجل يزعم أنه "puffy party"، ويدعي أنه أحد الهاكر.
قال باحثان في الأمن تحدثا إلى هاكر مجهول لمجلة فورتشن إنهما يعتقدان أن هذا الشخص موثوق. قال أحدهما: "استنادًا إلى ما شاركه معي، فقد قمت بدراسة تصريحاته بجدية، ولم أستطع العثور على دليل يثبت أن تصريحاته غير صحيحة." طلب الباحثان الحفاظ على سرية هويتهما لأنهما يخشيان تلقي استدعاء بسبب حديثهما مع ما يسمى هاكر.
خلال التواصل، شارك الرجل العديد من لقطات الشاشة، مدعياً أن هذه هي المراسلات عبر البريد الإلكتروني مع فريق أمان Coinbase. الاسم الذي استخدمه عند التواصل مع Coinbase هو "Lennard Schroeder". كما شارك لقطة شاشة لحساب يعود لأحد التنفيذيين السابقين في Coinbase، والذي يظهر فيه معاملات التشفير ومجموعة كبيرة من التفاصيل الشخصية.
كوينباس لم تنكر صحة هذه اللقطات.
تتضمن رسالة البريد الإلكتروني التي شاركها هاكر يُدعي أنه هاكر تهديدًا بخطف بقيمة 20 مليون دولار من البيتكوين (رفضت Coinbase الدفع) ، بالإضافة إلى تعليقات ساخرة حول عصابة الهاكرز التي ستستخدم جزءًا من الأموال المسروقة لشراء شعر للرئيس التنفيذي الأصلع للشركة ، براين أرمسترونغ. "نحن مستعدون لرعاية عملية زراعة الشعر حتى يتمكن من السفر حول العالم بكل أناقة ،" كتب الهاكر.
في رسالة تيليجرام، أعرب هذا الشخص (الذي علمت به مجلة فورتشن من باحث أمني) عن ازدرائه لـ Coinbase.
تُعد العديد من حوادث سرقة العملات المشفرة من تنفيذ عصابات إجرامية روسية أو القوات المسلحة الكورية الشمالية، ولكن يُزعم أن هذه الهجمات قد نفذتها تحالف غير رسمي يتكون من مجموعة من المراهقين والشباب في العشرينات من عمرهم يُطلق عليهم اسم "Comm" أو "Com".
على مدى العامين الماضيين، ظهرت تقارير حول مجموعة Comm في تقارير وسائل الإعلام المتعلقة بحوادث هاكر أخرى، بما في ذلك تقرير نشرته نيويورك تايمز في وقت سابق من هذا الشهر، حيث ادعى أحد المشتبه بهم الذين نفذوا سلسلة من سرقات العملات المشفرة أنه عضو في تلك المنظمة. وفقًا لتقرير وول ستريت جورنال، في عام 2023، حدد المحققون أن هاكرز مرتبطين بتلك المجموعة قد هاجموا عدة كازينوهات تعمل عبر الإنترنت في لاس فيغاس، وحاولوا ابتزاز 30 مليون دولار من منتجع ماندالاي باي.
على عكس هاكرز التشفير من روسيا وكوريا الشمالية الذين يسعون عادةً فقط وراء المال، فإن أعضاء عصابة Comm غالباً ما يسعون لجذب الانتباه ويبحثون عن متعة المقالب. أحيانًا يتعاونون في الهجمات الإلكترونية، لكنهم يتنافسون أيضًا لمعرفة من يمكنه سرقة المزيد.
"هم جاءوا من ألعاب الفيديو ثم نقلوا درجاتهم العالية إلى العالم الحقيقي،" قال جوش كوبر-داكت مدير التحقيقات في شركة التشفير الجنائي Cryptoforensic Investigators، "في هذا العالم، درجاتهم تعني مقدار المال الذي سرقوه."
في رسالة على تيليجرام، ذكر ما يُسمى هاكر أن أعضاء Comm مسؤولون بشكل خاص عن مراحل مختلفة من السرقات. قام فريقه برشوة خدمة العملاء وجمع بيانات العملاء، ثم سلموا البيانات إلى آخرين خارج الفريق يتقنون الاحتيال الاجتماعي. وأضافوا أن مجموعات Comm الفرعية المختلفة تنسق كيفية تنفيذ أجزاء مختلفة من العمليات على منصات التواصل الاجتماعي مثل تيليجرام وديسكورد، وتوزيع المسروقات.
قال سيرجيو غارسيا، مؤسس شركة التشفير Tracelon، لمجلة فورتشن، إن وصف الهاكر للهجوم على Coinbase يتماشى مع ملاحظاته حول طريقة عمل عصابة Comm وغيرها من خدع الهندسة الاجتماعية في مجال التشفير. وأفاد المطلعون بأن الأشخاص الذين يهاجمون العملاء في خدع الهندسة الاجتماعية الأخيرة يتحدثون الإنجليزية الأمريكية بطلاقة.
وفقًا لمصدر مطلع على رواتب موظفي BPO، يتراوح راتب موظفي TaskUs في الهند بين 500 إلى 700 دولار شهريًا. رفضت TaskUs التعليق. أخبر غارسيا مجلة فورتشن، على الرغم من أن هذا الرقم أعلى من الناتج المحلي الإجمالي للفرد في الهند، إلا أن انخفاض الرواتب في خدمة العملاء غالبًا ما يجعلهم أكثر عرضة لقبول الرشاوى. "من الواضح أن هذه هي الحلقة الأضعف في السلسلة، لأن لديهم حوافز اقتصادية لقبول الرشوة،" أضاف.
شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
خلفية حادث تسريب بيانات Coinbase: مركز خدمة العملاء في الهند وعصابة هاكر المراهقين
كتبه: بن فايس، جيف جون روبرتس
ترجمة: لوفي، أخبار فورايت
!
الرئيس التنفيذي والمؤسس المشارك لشركة Coinbase، بريان أرمسترونغ، ألقى خطابًا في حدث في بنغالور، الهند في عام 2022
في 15 مايو 2025 ، كشفت Coinbase عن سرقة عشرات الآلاف من البيانات الشخصية لعملائها ، وهو أكبر حادث أمني في تاريخ الشركة ، ومن المتوقع أن يتسبب في خسائر تصل إلى 400 مليون دولار. لم يكن خرق البيانات رائعا فقط لحجمه ، ولكن أيضا لتكتيكات المتسللين: رشوة موظفي خدمة العملاء في الخارج للحصول على معلومات سرية للعملاء.
أعلنت Coinbase علنًا أنها ستدفع مكافأة قدرها 20 مليون دولار للمبلغين الذين يقدمون أدلة تساعد على القبض على المجرمين وإدانتهم، ولكنها كشفت القليل جدًا عن هوية المهاجم أو تفاصيل الاختراق.
كشفت دراسة حديثة لمجلة "فورتشن" (بما في ذلك مراجعة رسائل البريد الإلكتروني بين Coinbase وهاكر) عن تفاصيل جديدة حول الحادث، مما يوحي بأن شبكة فضفاضة تتكون من هاكر شاب يتحدث الإنجليزية هي جزء من المسؤولين. في الوقت نفسه، تسلط نتائج التحقيق الضوء على ما يسمى بـ BPO (وحدات تعهيد العمليات التجارية) كحلقة ضعف في التشغيل الأمني للشركات التقنية.
خيانة داخلية: خدمة العملاء المستعانة بها تصبح نقطة الاختراق
تبدأ القصة في شركة صغيرة مدرجة في نيو برونفيلز، تكساس، تُدعى TaskUs. مثل غيرها من شركات BPO، تقدم الشركة خدمات العملاء لشركات التكنولوجيا الكبرى من خلال توظيف موظفين من الخارج بتكلفة منخفضة. ووفقًا لمتحدث باسم الشركة، في يناير من هذا العام، قامت TaskUs بفصل 226 موظفًا كانوا يعملون لصالح Coinbase من مركز خدماتها في إندور، الهند.
وفقًا للملفات المقدمة إلى لجنة الأوراق المالية والبورصات الأمريكية، منذ عام 2017، كانت TaskUs توفر موظفي خدمة العملاء لشركة Coinbase، وقد وفرت هذه الشراكة تكاليف عمالية كبيرة لهذه العملاق الأمريكي في مجال التشفير. لكن المشكلة هي: عندما يرسل العملاء رسائل بريد إلكتروني للاستفسار عن حساباتهم أو عن منتجات Coinbase الجديدة، فمن المحتمل أنهم يتحدثون مع موظفي TaskUs في الخارج. نظرًا لأن أجور هؤلاء الوكلاء أقل من موظفي الولايات المتحدة، فإنهم أكثر عرضة للرشوة.
"في وقت سابق من هذا العام، اكتشفنا أن شخصين قد وصولا بشكل غير قانوني إلى معلومات أحد عملائنا،" قال متحدث باسم TaskUs لمجلة Fortune عند الإشارة إلى Coinbase، "نعتقد أن هذين الشخصين كانا يعملان لصالح عملية إجرامية منظمة أوسع تستهدف Coinbase، والتي أثرت أيضًا على العديد من الموردين الآخرين الذين تقدم Coinbase خدماتها لهم."
وفقا للإيداعات التنظيمية ل Coinbase ، قامت TaskUs بتسريح الموظفين في يناير ، بعد أقل من شهر من اكتشاف Coinbase أن بيانات العملاء قد سرقت (ملاحظة: اكتشفت Coinbase خرق البيانات في ديسمبر 2024). يوم الثلاثاء ، اتهمت دعوى قضائية جماعية فيدرالية مرفوعة في نيويورك نيابة عن عملاء Coinbase TaskUs بالإهمال في حماية بيانات العملاء. وقال متحدث باسم TaskUs: "على الرغم من أننا غير قادرين على التعليق على الدعوى القضائية ، إلا أننا نعتقد أن هذه المزاعم لا أساس لها من الصحة ، وسندافع عن أنفسنا ، فإننا نجعل حماية بيانات العملاء أولويتنا القصوى وسنواصل تعزيز بروتوكولات الأمان العالمية وبرامج التدريب الخاصة بنا".
قال مصدر مطلع على الحادث الأمني إن هاكر تمكنوا أيضًا من الهجوم على بعض شركات BPO الأخرى، وأن طبيعة البيانات المسروقة كانت مختلفة في كل حادث.
هذه البيانات المسروقة غير كافية لتمكين الهاكر من اختراق خزينة التشفير الخاصة بـ Coinbase، لكنها توفر بالفعل معلومات غنية تساعد المجرمين في انتحال شخصية خدمة عملاء Coinbase الزائفة، والتواصل مع العملاء وإقناعهم بتسليم أصولهم المشفرة. وأفادت الشركة أن الهاكر سرق بيانات أكثر من 69 ألف عميل، لكنها لم توضح عدد أولئك الذين أصبحوا ضحايا لما يسمى بـ "خداع الهندسة الاجتماعية". في هذه الحالة، يتعلق خداع الهندسة الاجتماعية بالمجرمين الذين يستخدمون البيانات المسروقة لانتحال شخصية موظفي Coinbase، persuading الضحايا على نقل أصولهم المشفرة.
قالت Coinbase في بيان: "كما كشفنا سابقًا، اكتشفنا مؤخرًا أن أحد المتسللين قد طلب من خدمة العملاء في الخارج الحصول على معلومات حسابات العملاء التي يمكن تتبعها حتى ديسمبر 2024. لقد أبلغنا المستخدمين المتأثرين والهيئات التنظيمية، وقطعنا الاتصال مع موظفي TaskUs المعنيين وغيرهم من خدمات العملاء في الخارج، وعززنا الرقابة." وأضاف البيان أنه يتم تعويض العملاء الذين فقدوا أموالًا في الاحتيال.
إن عمليات الاحتيال الهندسية الاجتماعية التي تتظاهر بأنها تمثل الشركات ليست جديدة، ولكن الهجمات التي يشنها هاكر على شركات BPO نادرة للغاية. على الرغم من عدم تحديد الجناة بشكل واضح بعد، إلا أن بعض الأدلة تشير بشدة إلى مجموعة غير متماسكة من الهاكر الشباب الناطقين بالإنجليزية.
عصابة هاكر المراهقين: "إنهم قادمون من ألعاب الفيديو"
في الأيام التي تلت الكشف عن حادث تسرب بيانات Coinbase في منتصف مايو، تواصلت مجلة فورتشن عبر تيليجرام مع رجل يزعم أنه "puffy party"، ويدعي أنه أحد الهاكر.
قال باحثان في الأمن تحدثا إلى هاكر مجهول لمجلة فورتشن إنهما يعتقدان أن هذا الشخص موثوق. قال أحدهما: "استنادًا إلى ما شاركه معي، فقد قمت بدراسة تصريحاته بجدية، ولم أستطع العثور على دليل يثبت أن تصريحاته غير صحيحة." طلب الباحثان الحفاظ على سرية هويتهما لأنهما يخشيان تلقي استدعاء بسبب حديثهما مع ما يسمى هاكر.
خلال التواصل، شارك الرجل العديد من لقطات الشاشة، مدعياً أن هذه هي المراسلات عبر البريد الإلكتروني مع فريق أمان Coinbase. الاسم الذي استخدمه عند التواصل مع Coinbase هو "Lennard Schroeder". كما شارك لقطة شاشة لحساب يعود لأحد التنفيذيين السابقين في Coinbase، والذي يظهر فيه معاملات التشفير ومجموعة كبيرة من التفاصيل الشخصية.
كوينباس لم تنكر صحة هذه اللقطات.
تتضمن رسالة البريد الإلكتروني التي شاركها هاكر يُدعي أنه هاكر تهديدًا بخطف بقيمة 20 مليون دولار من البيتكوين (رفضت Coinbase الدفع) ، بالإضافة إلى تعليقات ساخرة حول عصابة الهاكرز التي ستستخدم جزءًا من الأموال المسروقة لشراء شعر للرئيس التنفيذي الأصلع للشركة ، براين أرمسترونغ. "نحن مستعدون لرعاية عملية زراعة الشعر حتى يتمكن من السفر حول العالم بكل أناقة ،" كتب الهاكر.
في رسالة تيليجرام، أعرب هذا الشخص (الذي علمت به مجلة فورتشن من باحث أمني) عن ازدرائه لـ Coinbase.
تُعد العديد من حوادث سرقة العملات المشفرة من تنفيذ عصابات إجرامية روسية أو القوات المسلحة الكورية الشمالية، ولكن يُزعم أن هذه الهجمات قد نفذتها تحالف غير رسمي يتكون من مجموعة من المراهقين والشباب في العشرينات من عمرهم يُطلق عليهم اسم "Comm" أو "Com".
على مدى العامين الماضيين، ظهرت تقارير حول مجموعة Comm في تقارير وسائل الإعلام المتعلقة بحوادث هاكر أخرى، بما في ذلك تقرير نشرته نيويورك تايمز في وقت سابق من هذا الشهر، حيث ادعى أحد المشتبه بهم الذين نفذوا سلسلة من سرقات العملات المشفرة أنه عضو في تلك المنظمة. وفقًا لتقرير وول ستريت جورنال، في عام 2023، حدد المحققون أن هاكرز مرتبطين بتلك المجموعة قد هاجموا عدة كازينوهات تعمل عبر الإنترنت في لاس فيغاس، وحاولوا ابتزاز 30 مليون دولار من منتجع ماندالاي باي.
على عكس هاكرز التشفير من روسيا وكوريا الشمالية الذين يسعون عادةً فقط وراء المال، فإن أعضاء عصابة Comm غالباً ما يسعون لجذب الانتباه ويبحثون عن متعة المقالب. أحيانًا يتعاونون في الهجمات الإلكترونية، لكنهم يتنافسون أيضًا لمعرفة من يمكنه سرقة المزيد.
"هم جاءوا من ألعاب الفيديو ثم نقلوا درجاتهم العالية إلى العالم الحقيقي،" قال جوش كوبر-داكت مدير التحقيقات في شركة التشفير الجنائي Cryptoforensic Investigators، "في هذا العالم، درجاتهم تعني مقدار المال الذي سرقوه."
في رسالة على تيليجرام، ذكر ما يُسمى هاكر أن أعضاء Comm مسؤولون بشكل خاص عن مراحل مختلفة من السرقات. قام فريقه برشوة خدمة العملاء وجمع بيانات العملاء، ثم سلموا البيانات إلى آخرين خارج الفريق يتقنون الاحتيال الاجتماعي. وأضافوا أن مجموعات Comm الفرعية المختلفة تنسق كيفية تنفيذ أجزاء مختلفة من العمليات على منصات التواصل الاجتماعي مثل تيليجرام وديسكورد، وتوزيع المسروقات.
قال سيرجيو غارسيا، مؤسس شركة التشفير Tracelon، لمجلة فورتشن، إن وصف الهاكر للهجوم على Coinbase يتماشى مع ملاحظاته حول طريقة عمل عصابة Comm وغيرها من خدع الهندسة الاجتماعية في مجال التشفير. وأفاد المطلعون بأن الأشخاص الذين يهاجمون العملاء في خدع الهندسة الاجتماعية الأخيرة يتحدثون الإنجليزية الأمريكية بطلاقة.
وفقًا لمصدر مطلع على رواتب موظفي BPO، يتراوح راتب موظفي TaskUs في الهند بين 500 إلى 700 دولار شهريًا. رفضت TaskUs التعليق. أخبر غارسيا مجلة فورتشن، على الرغم من أن هذا الرقم أعلى من الناتج المحلي الإجمالي للفرد في الهند، إلا أن انخفاض الرواتب في خدمة العملاء غالبًا ما يجعلهم أكثر عرضة لقبول الرشاوى. "من الواضح أن هذه هي الحلقة الأضعف في السلسلة، لأن لديهم حوافز اقتصادية لقبول الرشوة،" أضاف.