سائبر سیکیورٹی ماہرین نے ایک خطرناک سائبر کرمنل گروپ “Jingle Thief” کے بارے میں انکشاف کیا ہے، جو ریٹیل اور کنزیومر سروسز کے اداروں کے کلاؤڈ سسٹمز کو نشانہ بنا کر گفٹ کارڈ فراڈ میں ملوث ہے۔
Palo Alto Networks Unit 42 کے محققین کے مطابق یہ گروپ ان کمپنیوں کو ٹارگٹ کرتا ہے جو گفٹ کارڈز جاری کرتی ہیں۔ یہ حملہ آور فشنگ (Phishing) اور سمشنگ (Smishing) کے ذریعے ملازمین کے اکاؤنٹس کی تفصیلات چرا لیتے ہیں، پھر ان اکاؤنٹس کے ذریعے غیر قانونی گفٹ کارڈ جاری کرتے ہیں۔
Jingle Thief گروپ کیسے کام کرتا ہے؟
جب یہ ہیکرز کسی ادارے کے سسٹم میں داخل ہو جاتے ہیں، تو وہ سب سے پہلے وہ اکاؤنٹس تلاش کرتے ہیں جن سے گفٹ کارڈز جاری کیے جا سکتے ہیں۔ ان کا اصل مقصد یہ ہوتا ہے کہ جعلی گفٹ کارڈز بنا کر انہیں آن لائن غیر قانونی مارکیٹس (Gray Markets) میں فروخت کیا جائے۔
گفٹ کارڈز فراڈ کے لیے بہترین ہدف ہیں کیونکہ:
•انہیں حاصل یا ریڈیِم کرنے کے لیے ذاتی معلومات بہت کم درکار ہوتی ہیں،
•ان کا سراغ لگانا مشکل ہوتا ہے،
•اور انہیں آسانی سے نقد رقم میں بدلا جا سکتا ہے۔
اسی لیے یہ سائبر مجرموں کے لیے ایک محفوظ اور منافع بخش کاروبار بن چکا ہے۔
Jingle Thief نام کیوں رکھا گیا؟
اس گروپ کا نام اس لیے رکھا گیا ہے کیونکہ یہ زیادہ تر تہواروں اور چھٹیوں کے موسم میں حملے کرتے ہیں — یعنی جب گفٹ کارڈز کا استعمال بڑھ جاتا ہے۔
Unit 42 نے اس گروپ کو CL-CRI-1032 کے نام سے ٹریک کیا ہے، جہاں “CL” کا مطلب کلسٹر اور “CRI” کا مطلب کرمنل نیت ہے۔
تحقیقات سے پتا چلا ہے کہ اس گروپ کا تعلق Atlas Lion اور Storm-0539 جیسے دوسرے مجرم گروپس سے ہے، جنہیں Microsoft نے مالی فائدے کے لیے سرگرم مراکشی ہیکرز قرار دیا ہے۔ یہ سرگرمیاں 2021 کے آخر سے جاری ہیں۔
یہ گروپ کیوں خطرناک ہے؟
Jingle Thief کی سب سے بڑی طاقت اس کی پائیداری (Persistence) ہے۔
یہ ہیکرز کسی ادارے کے سسٹم میں داخل ہونے کے بعد مہینوں یا حتیٰ کہ ایک سال سے زیادہ تک خاموشی سے موجود رہتے ہیں۔ اس دوران وہ سسٹم کا نقشہ بناتے ہیں، اہم ڈیٹا اکٹھا کرتے ہیں، اور بغیر پکڑے گئے اپنے مقاصد حاصل کرتے ہیں۔
ایک کیس میں، انہوں نے 10 مہینے تک ایک ہی کمپنی کے کلاؤڈ سسٹم میں رسائی برقرار رکھی اور 60 صارفین کے اکاؤنٹس کو ہیک کیا۔
Jingle Thief کا مکمل حملے کا طریقہ
1.فشنگ اور سمشنگ کے ذریعے معلومات چرانا
جعلی Microsoft 365 لاگ اِن صفحات کے ذریعے ملازمین کو دھوکہ دے کر ان کے اکاؤنٹ کی تفصیلات حاصل کی جاتی ہیں۔
2.کلاؤڈ میں داخلہ اور جائزہ
اکاؤنٹس ہیک ہونے کے بعد یہ گروپ SharePoint اور OneDrive پر وہ دستاویزات تلاش کرتا ہے جن میں گفٹ کارڈ ورک فلو، VPN ایکسیس، یا IT سسٹمز کی تفصیل ہو۔
3.مزید رسائی حاصل کرنا (Lateral Movement)
یہ دوسرے کلاؤڈ سسٹمز جیسے Citrix یا Virtual Machines تک پہنچنے کی کوشش کرتے ہیں۔
4.اندرونی فشنگ حملے
ہیک کیے گئے اکاؤنٹس سے یہ جعلی IT یا سروس نوٹیفکیشن ای میلز بھیج کر مزید ملازمین کو نشانہ بناتے ہیں۔
5.سسٹم میں چھپ کر رہنے کے طریقے
•Inbox Rules بناتے ہیں تاکہ ای میلز خود بخود آگے بھیج دی جائیں۔
•جعلی Authenticator Apps رجسٹر کرتے ہیں تاکہ MFA (Multi-Factor Authentication) کو بائی پاس کیا جا سکے۔
•اپنے ڈیوائسز کو Entra ID میں شامل کرتے ہیں تاکہ پاس ورڈ بدلنے کے باوجود رسائی برقرار رہے۔
6.گفٹ کارڈز جاری کرنا اور شواہد مٹانا
آخر میں، یہ غیر قانونی گفٹ کارڈ جاری کرتے ہیں اور ان کے ریکارڈز کو حذف کر دیتے ہیں تاکہ کوئی سراغ نہ مل سکے۔
یہ حملے پکڑنا کیوں مشکل ہے؟
Jingle Thief روایتی مالویئر استعمال نہیں کرتا۔
یہ صرف شناخت (Identity) کا غلط استعمال کرتا ہے، یعنی کسی جائز صارف کی طرح سسٹم میں گھومتا ہے۔
ان کے حربے:
•وہ قانونی ٹولز (جیسے Microsoft 365) ہی استعمال کرتے ہیں۔
•ان کی سرگرمیاں عام یوزرز جیسی لگتی ہیں۔
•وہ کم سے کم لاگز چھوڑتے ہیں، جس سے تفتیش مشکل ہو جاتی ہے۔
اداروں کے لیے خطرے کے اشارے
اگر درج ذیل چیزیں نظر آئیں تو محتاط رہیں:
•کسی یوزر کے اکاؤنٹ میں غیر معمولی Inbox Rules۔
•ناشناختہ ڈیوائسز یا Authenticator Apps کی رجسٹریشن۔
•غیر معمولی فائل ایکسیس SharePoint یا OneDrive پر۔
•گفٹ کارڈز کی غیر متوقع ٹرانزیکشنز یا غیر معمولی اوقات میں اجرا۔
•متعدد پاس ورڈ ری سیٹ یا لاگ ان ناکامیاں۔
تحفظ کے اقدامات
فوری اقدامات
•متاثرہ اکاؤنٹس کے پاس ورڈ فوراً ری سیٹ کریں اور مشکوک Authenticator Apps ہٹا دیں۔
•Inbox Rules چیک کریں اور غیر متعلقہ فارورڈنگ بند کریں۔
•کلاؤڈ لاگز میں غیر معمولی ایکسیس کی نگرانی کریں۔
طویل المدتی حکمتِ عملی
•Phishing-resistant MFA استعمال کریں (مثلاً FIDO2 ہارڈ ویئر کیز)۔
•Conditional Access Policies نافذ کریں تاکہ مشکوک لاگ اِنز روکے جا سکیں۔
•گفٹ کارڈ سسٹمز پر کم از کم اجازت (Least Privilege) اصول اپنائیں۔
•مہنگے گفٹ کارڈز کے اجرا کے لیے ملٹی-اسٹیپ منظوری لازمی کریں۔
•ملازمین کو فشنگ اور سوشل انجینئرنگ سے متعلق باقاعدہ ٹریننگ دیں۔
بڑی تصویر
Jingle Thief کے حملے یہ ثابت کرتے ہیں کہ جدید سائبر کرائم اب کلاؤڈ سروسز اور شناختی نظاموں پر مرکوز ہے۔
یہ ہیکرز وائرس استعمال نہیں کرتے بلکہ شناخت اور اجازتوں کا غلط استعمال کر کے مالی فائدہ حاصل کرتے ہیں۔
اداروں کو چاہیے کہ وہ اپنے گفٹ کارڈ یا مالیاتی کلاؤڈ سسٹمز کو بینک سسٹمز جیسا محفوظ بنائیں —
رسائی محدود کریں، لاگز مانیٹر کریں، اور ہر مشکوک سرگرمی کو سنجیدگی سے لیں۔
نتیجہ
“Jingle Thief” ایک عام ہیکنگ گروپ نہیں بلکہ ایک نیا خطرناک رجحان ہے۔
یہ گروپ کلاؤڈ سسٹمز میں خاموشی سے رہ کر مالی فراڈ کرتا ہے۔
ہر وہ تنظیم جو گفٹ کارڈز جاری کرتی ہے یا کلاؤڈ سروسز پر انحصار کرتی ہے، اسے اس خطرے کو سنجیدگی سے لینا ہوگا۔
سورس
https://thehackernews.com/2025/10/jingle-thief-hackers-exploit-cloud.html?m=1
