أفاد باحثون من Have I Been Squatted بالتعاون مع Ctrl-Alt-Intel في فبراير 2026 عن اكتشاف عملية تصيد مستهدفة ضد شركات الشحن واللوجستيات في الولايات المتحدة وأوروبا، والتي أطلقوا عليها اسم Diesel Vortex. وفقًا لبياناتهم، كانت الحملة موجهة لسرقة بيانات الاعتماد للأنظمة الصناعية: أسواق الشحن، بوابات الناقلين والوسطاء، وكذلك أنظمة الدفع والوقود، حيث غالبًا ما تعني اختراق تسجيل الدخول الوصول المباشر إلى الأموال أو إمكانية إعادة توجيه المدفوعات.
المصدر العام الوحيد للتفاصيل هو منشور الباحثين، بينما لم يتم العثور على تأكيدات أو تحقيقات موازية في وسائل الإعلام الكبيرة المتخصصة والأمن السيبراني حتى نهاية فبراير 2026. هذا لا ينفي الحقائق المقدمة، ولكنه يجعل السوق ينظر إلى القصة على أنها "تحقيق خاص جديد" لم يمر بعد عبر آليات التحقق المستقلة المعتادة. التفاصيل والأرقام والميكانيكا المقدمة أدناه مأخوذة من تقرير Have I Been Squatted والشركاء: وصف Diesel Vortex والبنية التحتية المستعادة للتصيد.
وفقًا للتقرير، فإن فترة النشاط المؤكدة للحملة كانت من سبتمبر 2025 إلى فبراير 2026. يعلن الباحثون عن 3,474 زوجًا من تسجيلات الدخول/كلمات المرور التي تم اعتراضها، منها 1,649 بيانات اعتماد فريدة. يُزعم أن التليمترية لزيارات الصفحات التصيدية تشمل 9,016 عنوان IP فريد للزوار. تم استخدام 52 نطاقًا في البنية التحتية، وبلغت قائمة عناوين البريد الإلكتروني المستهدفة 75,840 بريدًا إلكترونيًا (57,092 فريدة). هذه الأرقام مهمة ليس في حد ذاتها، ولكن لأنها تظهر أن الأمر لم يكن هجومًا محددًا على لاعب كبير واحد، بل كان "قمعًا" صناعيًا مع توزيع واسع النطاق، وتصفية، و"ضغط" نشط لأولئك الذين نقروا.
كمثال على المنصات والعمليات التي تم إعداد القوالب لها، يظهر في التقرير DAT وTruckstop (تظهر في النص صيغة "DAT Truckstop")، Central Dispatch، TIMOCOM، Teleroute، Highway، وكذلك تقليد بوابات المشغلين الكبار والأقسام اللوجستية، بما في ذلك Penske Logistics. يخصص قسم منفصل للمخططات حول EFS (Electronic Funds Source) - وهذا ليس فقط خطر تسرب البيانات، بل أيضًا أرضية محتملة للاحتيال بالشيكات/الوقود وتغيير تفاصيل الدفع. يذكر التقرير 35 محاولة مرتبطة بشيكات EFS كمؤشر منفصل للمونيتاز.
بالنسبة للصناعة، عادة ما تنحصر عواقب اختراق مثل هذه الحسابات في عدة سيناريوهات مألوفة للسوق: اعتراض أو تغيير التحميل/التعيينات، الوصول إلى تفاصيل الشحنات والاتصالات، إساءة استخدام الاتصالات بين "الناقل-الوسيط-الشاحن"، الوساطة المزدوجة، إعادة توجيه الفواتير وتغيير تعليمات الدفع. عند الوصول إلى أنظمة الدفع والوقود، تصبح المخاطر أكثر مباشرة: من الإصدار/إعادة التشكيل غير المصرح به إلى محاولات "سحب" الأموال عبر تأكيدات مزيفة.
ابق على اطلاع بأخبار الصناعة
اشترك في نشرتنا الإخبارية واحصل على آخر أخبار صناعة النقل، وتحديثات اللوائح، ونصائح مهنية تصل إلى بريدك الوارد.
نحن نحترم خصوصيتك. يمكنك إلغاء الاشتراك في أي وقت.
الميزة الرئيسية لـ Diesel Vortex، وفقًا لوصف الباحثين، ليست فقط جمع تسجيلات الدخول وكلمات المرور، بل "المشغل في الدائرة" الذي يقود الضحية في الوقت الفعلي عبر الخطوات اللازمة ويعترض الرموز المؤقتة. يظهر في التقرير علامات التصيد الصوتي (vishing) في الرسائل والسجلات المستعادة، لكن القناة المركزية للإدارة كانت Telegram.
كانت الميكانيكا تبدو هكذا: الضحية تصل إلى صفحة تصيد، تدخل تسجيل الدخول/كلمة المرور، ثم يتلقى المشغل إشعارًا في Telegram ويمكنه بدء طلبات إضافية للضحية - مثل طلب رمز 2FA، تحويل التدفق إلى "تسجيل الدخول عبر Google/Microsoft/Yahoo"، أو على العكس من ذلك، حظر الجلسة إذا حدث خطأ ما. يهدف هذا النهج إلى الواقع الأكثر شيوعًا في اللوجستيات: العديد من الحسابات محمية بـ SMS/TOTP، مما يعمل ضد الهجمات "البرمجية" الجماعية، ولكنه لا يحمي جيدًا من الهجوم حيث يقوم الشخص "بالتقاط" الرمز في لحظة عمله.
تؤكد المقاييس الداخلية من التقرير بشكل غير مباشر على العمل اليدوي للمشغلين: على سبيل المثال، تم استخدام الأمر/الحالة "Invalid" 1,559 مرة في مجموعة من 4,657 طلبًا - مما يعني أن المشغلين كانوا غالبًا ما يعيدون التحقق أو "يلتقطون" كلمة المرور/الرمز الصحيح في نافذة زمنية محدودة.
يصف التقرير بنية "النطاقين" التي كانت مخصصة لتجاوز قوائم الحظر وآليات أمان المتصفحات. من الأعلى، كان المستخدم يرى نطاقًا "لائقًا" (غالبًا في منطقة .com) - نطاق "إعلاني" مشروط. لكن نموذج التصيد نفسه كان يتم تحميله داخل إطار iframe كامل الشاشة من النطاق الثاني - "النظامي"، غالبًا في مناطق .top أو .icu. في منطق الباحثين، كان هذا يزيد من بقاء المخطط: حتى إذا تم حظر النطاق "المحتوى"، يمكن أن يعيش "الواجهة" لفترة أطول، وتصبح تدوير النطاقات أرخص وأسرع.
ثم تم تشغيل "قمع" متعدد المراحل لتصفية الزوار غير المرغوب فيهم. يتم ذكر تخطيط تضمين الروابط، ومفاتيح نشاط القوالب/النطاقات، وتصفية IP/ISP/ASN بالاعتماد على ipinfo.io، والتصفية حسب user-agent (للبوتات وصناديق الرمل)، والمعايير و"البوابات" عبر URL، وقوائم الحظر، وكذلك الرموز للإطار. يقدم التقرير تفاصيل حول التوقيتات: كان المتصفح يستفسر عن نقطة النهاية /ajax/check_request.php كل ثانية، وكان TTL للرمز للإطار 10 ثوانٍ. في الوقت نفسه، يلاحظ الباحثون خطأ في التنفيذ: عدم وجود تحكم صارم في الحد الأقصى لوقت الحياة كان يسمح بتزوير الرموز "طويلة العمر".
يظهر في التقرير أيضًا مؤشرات "الدفاع الذاتي" للبنية التحتية: 254 سجلًا في قائمة حظر IP (بما في ذلك CIDR والعناوين المحددة)، و49 سلسلة نصية للحظر حسب ISP/ASN و16 نمطًا حسب user-agent. في الأساس، يعكس هذا نضج منصة التصيد: كان المهاجمون يتوقعون بوضوح اهتمامًا من مقدمي الخدمات، وفرق SOC والباحثين، وكانوا يبنون المرشحات مسبقًا ضد "الزوار غير المناسبين".
تفصيل آخر مهم لسوق الشحن في الولايات المتحدة: في المواد المستعادة من قبل الباحثين، تظهر تسميات العلامات التجارية الداخلية GlobalProfit والاسم التسويقي "MC Profit Always". يطرح التقرير فرضية أن "MC" تشير إلى رقم Motor Carrier (MC number) في نظام FMCSA - مما يعني أن المبدعين كانوا يفكرون بوضوح في مصطلحات السوق الأمريكي وتحديد الناقلين المعتاد.
يعتقد الباحثون أن المنصة قد تتطور نحو "التصيد كخدمة"، أي منتج للبيع لمجرمين آخرين: قوالب جاهزة للخدمات الصناعية، لوحة تحكم، بوتات تلغرام، تسجيل، حظر/إخفاء، تدوير سريع للنطاقات، بالإضافة إلى نموذج تشغيل لاعتراض MFA.
كان لدى المهاجمين مقاومة عالية للاختراق، ولكن، كما يزعم التقرير، خانتهم خطأ تشغيلي: كان هناك دليل .git متاح على أحد مواقع التصيد. سمح ذلك للباحثين بتحميل تاريخ التطوير وجمع أثر أثري شبه كامل: قاعدة الأكواد، تفريغات قاعدة البيانات، سجلات webhook، أجزاء من الاتصالات الداخلية وتاريخ التغييرات. يشير التقرير إلى أن المنصة المستعادة تضمنت أكثر من 2,100 ملف وقاعدة بيانات تحتوي على 54 جدولًا؛ وكان تفريغ SQL بحجم 36.6 ميغابايت مع طابع زمني في 4 فبراير 2026.
في أدوات Telegram، وفقًا للباحثين، تم اكتشاف 10 رموز بوت، كان تسعة منها لا تزال نشطة في وقت التحليل. هذا مهم للممارسين: تعيش مثل هذه البنية طالما تعيش الرموز والقنوات، لذا يمكن أن تسرع تسرب الرموز "قطع" البنية التحتية إذا قام مقدمو الخدمات بإلغائها بسرعة.
يصف مؤلفو التقرير المجموعة بأنها "مرتبطة بروسيا": يتم ذكر تعليقات باللغة الروسية في الكود والوثائق، وكذلك بيانات وصفية تشير إلى سياق موسكو. في الوقت نفسه، توجد اللغة الأرمنية في سجلات Telegram، وشارك الشريك Ctrl-Alt-Intel في تفسير الأجزاء المقابلة. يبدو هذا كفريق عمليات مختلط أو توزيع للأدوار بين المشاركين. لا يذكر الباحثون شخصيات حقيقية؛ تظهر فقط تسميات/أدوار المشغلين في البوتات والسجلات (مثل "Leo operator"، "Penske operator")، والتي لا يمكن تفسيرها على أنها تحديد لأشخاص محددين.
نظرًا لعدم وجود تأكيدات مستقلة على النسبة في وقت النشر، فمن المنطقي أن ينظر المشاركون في السوق إلى "الجغرافيا" للمجموعة كفرضية عمل للباحثين، وليس كحقيقة مثبتة من قبل السلطات.
حتى إذا تم استبعاد الاسم المحدد Diesel Vortex، فإن نموذج الهجوم نفسه يتناسب جيدًا مع النقاط المؤلمة الحالية للصناعة. استعادة النقطة والقتال من أجل الهامش يعزز سرعة اتخاذ القرارات، مما يعني أيضًا الضعف تجاه الرسائل "أكد الحساب بشكل عاجل"، "قم بتحديث كلمة المرور"، "تحقق من الدفع". بالتوازي، تؤكد الجمعيات المهنية في الولايات المتحدة علنًا على زيادة الأضرار الناتجة عن الوساطة المزدوجة والتلاعبات المالية وتدعم تشديد الإجراءات ضد الاحتيال في السوق. بالنسبة للمهاجمين، فإن سرقة الحسابات إلى أسواق الشحن وأنظمة الدفع هي طريق مباشر إلى نفس المخططات، ولكن مع "تحويل" أعلى، لأن الوصول يبدو شرعيًا.
في الواقع، هذا يعني أن "نقطة الدخول" لمعظم الخسائر الكبيرة لا تزال بسيطة: حساب مدير، محاسب أو مالك مشغل في سوق الشحن أو في خدمة الدفع، حيث تمكنوا من الحصول على ليس كلمة المرور، بل ثقة المستخدم - واعتراض MFA في لحظة الإدخال.
