كشفت مجموعة متخصصة في مجال الأمن الإلكتروني، عن حملة تصيد إلكتروني واسعة انطلقت منتصف 2020 تستهدف المستخدمين في الشرق الأوسط، من خلال انتحال هوية مؤسسات بريدية معروفة من البحرين ومصر والكويت وقطر والسعودية والأردن والإمارات.
وأعلن فريق الاستجابة للطوارئ الحاسوبية التابع لمجموعة «غروب – آي بي» عن أكثر من 270 اسم نطاق يستغل أسماء شركات التوصيل وخدمات بريد معروفة في المنطقة، وقد مثلت جميع هذه النطاقات جزءاً من بنية تحتية ضخمة للتصيد الاحتيالي، ليرسل فريق الاستجابة للطوارئ الحاسوبية للمجموعة إخطارات إلى فرق الاستجابة لطوارئ الكومبيوتر الإقليمية لتمكينها من اتخاذ الإجراءات اللازمة عند ظهور حملات تصيد جديدة.
زيادة المتسوقين إلكترونياً خلال فترة «كورونا»
ذكر التقرير الصادر عن المجموعة أن جائحة «كورونا» أسهمت في ارتفاع كبير بعمليات التسوق عبر الإنترنت، التي باتت بدورها تمثل بيئة مثالية للجهات الخبيثة التي وجدت فيها أرضية خصبة لابتكار سيناريوهات هجوم جديدة، لتصبح مخططات التصيد الاحتيالي التي تستغل موضوع خدمات التوصيل، والتي تمثل واحدة من الأنشطة الخبيثة التي تعود بعوائد كبيرة على الاستثمار للمحتالين.
وذكرت مجموعة «غروب – آي بي» أنه تم تحديد أكثر من 400 اسم نطاق ينتحل علامات تجارية بريدية شهيرة كجزء من حملة واسعة للتصيد الاحتيالي، أكثر من نصف هذه الأسماء (276) كانت مخصصة لاستهداف المستخدمين في الشرق الأوسط. كما رصد الفريق هجمات تستخدم أكثر من 30 علامة تجارية لخدمات البريد وشركات التوصيل من أكثر من 20 دولة حول العالم لاستهداف ضحاياهم. وفيما يخص الشرق الأوسط على وجه التحديد، انتحلت الجهات الخبيثة هوية أكثر من 13 علامة تجارية مختلفة متخصصة بخدمات التوصيل والبريد وشركات عامة من ثماني دول مختلفة، بما في ذلك البحرين، ومصر، والأردن، والكويت، وقطر، والسعودية، والإمارات.
وأشار التقرير إلى أنه كانت معظم المواقع الإلكترونية التي تم تحديدها من قبل فريق الاستجابة، البالغ عددها 276 موقعاً، من المواقع غير النشطة وقت إجراء التحليل، إذ تمتاز أسماء النطاقات هذه بدورة حياة قصيرة، نظراً لتصميمها الخاص الذي يجعل من الصعب اكتشافها، فعادة ما يتم تصميم مواقع إلكترونية جديدة بديلة لها بشكل منتظم. وفقاً لمجموعة «غروب - آي بي»، ظهرت الهجمة الأحدث التي تنتحل هوية علامة تجارية بريدية شرق أوسطية بتاريخ 14 يوليو (تموز) 2022.
الخطط الخبيثة لتصيد المستخدمين
قد يستلم العملاء الذين ينتظرون طلبية ما بريداً إلكترونياً أو رسالة نصية قصيرة من الخدمة البريدية الوطنية تطلب منهم دفع رسوم التوصيل أو التخليص الجمركي. بعد النقر على الرابط الموجود في الرسالة، يتم إعادة توجيه العملاء إلى صفحة تصيد خبيثة تطلب تفاصيل بطاقتهم المصرفية من أجل معالجة عملية الدفع. وبمجرد إرسال العميل لتفاصيل البطاقة، يتم خصم مبلغ «الرسوم» من حسابه المصرفي، وتحويله إلى مجرمي الإنترنت، إلى جانب تفاصيل بطاقتهم المصرفية.
كما يتم عادة ترجمة نماذج التصيد الاحتيالي هذه بشكل كامل، إذ يمكن للمستخدم رؤية اسم وهوية علامته التجارية وعملته البريدية المحلية، وعادة ما يحاول هؤلاء المجرمون الحصول على مبالغ مالية أكبر.
بالإضافة إلى الاستخدام الشائع لهذه الحيل، لوحظ استخدام مجرمي الإنترنت أيضاً لتقنية الرجل الوسيط «Man - in - the - Middle» التي تعمل على تجاوز طبقة الحماية المتمثلة في رمز المرور لمرة واحدة (OTP) ، حيث تعمل هذه التقنية على استغلال بيانات بطاقة الدفع التي يتم إدخالها على صفحة التصيد الاحتيالي بواسطة الضحية لاستخدامها من قبل المحتال يدوياً أو تلقائياً في الموقع الإلكتروني الحقيقي لبدء المعاملة. ويقوم الضحية بعد ذلك بإدخال رمز المرور لمرة واحدة في صفحة التصيد الاحتيالي التي قد تشير إلى أن الرسوم المزعومة قد تم تحويلها بدلاً من ذلك إلى الحساب المصرفي لمجرمي الإنترنت.
قوالب وحزم ابتدائية للمحتالين
كما لوحظ استخدام قوالب تصيد مماثلة من قبل أسماء النطاقات التي تنتحل هوية شركات خدمات البريد والتوصيل في المنطقة. وقد تمكن محللو «غروب – آي بي» من تحديد حزم تصيد مستخدمة لاستهداف المستخدمين في الشرق الأوسط من خلال تقليد علامات تجارية بريدية محلية. وعادة ما تمثل حزم الخداع والتصيد ملفات أرشيفية تحتوي على مجموعة من البرامج النصية الشبيهة بوظيفة مواقع وصفحات التصيد الاحتيالي الإلكترونية. وتستخدم هذه الحزم لبناء مواقع إلكترونية احتيالية بسرعة وسهولة.
ويستخدم المهاجمون حزم تصيد خاصة بعلامات تجارية معينة، وتمتلك هذه الحزم خصائص متشابهة تتمثل في استخدام برمجية نصية تقوم بالتحقق من صحة رقم البطاقة المصرفية، وتضمن عدم قيام المستخدم بإدخال بطاقات غير صالحة أو غير موجودة. كما تتضمن هذه البرمجية النصية المخصصة لمعالجة بيانات الإدخال أسماء غير تقليدية مثل «jeddah.php» و«riyadh.php» و«dammam.php» وغيرها، اعتماداً على الموقع الجغرافي للعلامة التجارية التي تحاول صفحة التصيد الاحتيالي انتحال هويتها. تشير هذه الطريقة، بالإضافة إلى الاتصالات التي تتم بين أسماء نطاقات التصيد التي تم تحديدها، إلى أن الحملة التي تستهدف المستخدمين في الشرق الأوسط قد تم إطلاقها من قبل المجموعة الإجرامية نفسها.
كيف تتجنب حملات الاحتيال؟
ينصح فرق الخبراء التابع للمجموعة المستخدمين بالتزام الحيطة والحذر عند النقر على الروابط المتضمنة في رسائل البريد الإلكتروني، أو الرسائل النصية القصيرة، بغض النظر عن المرسل، وذلك لتجنب الوقوع فريسة لمثل هذه الحيل. كما يجب على المستخدمين استخدام المواقع الإلكترونية الرسمية فقط لتتبع طلبياتهم، حيث يمكنهم أيضاً إضافة تفاصيل الاتصال الخاصة بفرق دعم العملاء. ويجب العلم أن الشركات الشرعية المتخصصة بخدمات التوصيل لا ترسل عادة طلبات الدفع عن طريق الرسائل القصيرة أو البريد الإلكتروني.
وتعد عناوينURL» » المختصرة وعمليات إعادة التوجيه المطولة من علامات الخطر الواضحة، إذ يجب عدم النقر على هذه الروابط وعدم إدخال معلومات حساسة، إلا إذا كنت واثقاً بنسبة 100 في المائة من شرعية الموقع الإلكتروني الذي يتم التعامل معه.
وينصح دائماً بامتلاك بطاقة مصرفية افتراضية بحدود مالية محددة مسبقاً للتسوق الآمن عبر الإنترنت، بحيث إذا تم اختراقها، فلن يتمكن المحتالون من الوصول إلى كامل المدخرات.
ويستغل مجرمو الإنترنت عدم وجود مراقبة كافية وآليات قوية لحجب المواقع الاحتيالية التي تسيء استخدام أسماء العلامات التجارية المشروعة. ومع وجود مثل هذه التهديدات المعقدة، يتعين على الشركات أن تتصرف بسرعة، إذ يعد الاكتشاف المبكر للتهديدات أمراً ضرورياً لتقليل المخاطر الرقمية على العلامات التجارية المتأثرة وحماية الضحايا المحتملين. ويجب أن تتضمن آليات المراقبة والحجب الفعالة نظاماً آلياً لحماية المخاطر الرقمية يعمل بتقنية التعلم الآلي، ويمتاز بتحديثات منتظمة لقاعدة البيانات الخاصة بالبنية التحتية للمجرمين وكل ما يتعلق بخططهم وأدواتهم.
