حملات تصيد واحتيال إلكترونية واسعة تستهدف المستخدمين في المنطقة
حددت «جروب – آي بي»، الشركة العالمية الرائدة في مجال الأمن الإلكتروني، حملة تصيد إلكتروني واسعة تستهدف المستخدمين في الشرق الأوسط من خلال انتحال هوية مؤسسات بريدية معروفة من البحرين ومصر والكويت وقطر والمملكة العربية السعودية والأردن والإمارات العربية المتحدة.
ومنذ بداية عام 2020، اكتشف فريق الاستجابة للطوارئ الحاسوبية التابع لمجموعة «جروب – آي بي» أكثر من 270 اسم نطاق يستغل أسماء شركات التوصيل وخدمات بريد معروفة في المنطقة، وقد مثلت جميع هذه النطاقات جزءاً من بنية تحتية ضخمة للتصيُّد الاحتيالي.
وفي إطار مهمته الرامية للتصدي للجرائم الإلكترونية، قام فريق الاستجابة للطوارئ الحاسوبية، عند اكتشاف هذه النطاقات، بإرسال إخطارات إلى فرق الاستجابة لطوارئ الكمبيوتر الإقليمية لتمكينها من اتخاذ الإجراءات اللازمة عند ظهور حملات تصيد جديدة.
عاصفة من حملات التصيد الخبيثة
أسهمت الجائحة العالمية في ارتفاع كبير في عمليات التسوق عبر الإنترنت، والتي باتت بدورها تمثل بيئة مثالية للجهات الخبيثة التي وجدت فيها أرضية خصبة لابتكار سيناريوهات هجوم جديدة. وقد أصبحت مخططات التصيُّد الاحتيالي التي تستغل موضوع خدمات التوصيل تمثل واحدة من الأنشطة الخبيثة التي تعود بعوائد كبيرة على الاستثمار للمحتالين.
وحدد فريق الاستجابة للطوارئ الحاسوبية التابع لمجموعة «جروب – آي بي» أكثر من 400 اسم نطاق ينتحل علامات تجارية بريدية شهيرة كجزء من حملة واسعة للتصيُّد الاحتيالي، أكثر من نصف هذه الأسماء (276 اسم) كانت مخصصة لاستهداف المستخدمين في الشرق الأوسط.
كما رصد الفريق هجمات تستخدم أكثر من 30 علامة تجارية لخدمات البريد وشركات التوصيل من أكثر من 20 دولة حول العالم لاستهداف ضحاياهم. وفيما يخص الشرق الأوسط على وجه التحديد، انتحلت الجهات الخبيثة هوية أكثر من 13 علامة تجارية مختلفة متخصصة بخدمات التوصيل والبريد وشركات عامة من ثمانية دول مختلفة بما في ذلك البحرين، ومصر، والأردن، والكويت، وقطر، والمملكة العربية السعودية، والإمارات العربية المتحدة.
وباستخدام أداة تحليل البيانات الشبكي الحاصلة على براءة اختراع، تمكن الباحثون لدى مجموعة «جروب – آي بي» من الكشف عن الروابط بين البنى التحتية المستخدمة في الهجمات في الشرق الأوسط:
حيث كانت معظم المواقع الإلكترونية التي تم تحديدها من قبل فريق الاستجابة، والبالغ عددها 276 موقعاً، من المواقع غير النشطة وقت إجراء التحليل، إذ تمتاز أسماء النطاقات هذه بدورة حياة قصيرة نظراً لتصميمها الخاص الذي يجعل من الصعب اكتشافها، فعادةً ما يتم تصميم مواقع إلكترونية جديدة بديلة لها بشكل منتظم. وفقًا لمجموعة «جروب – آي بي»، ظهرت الهجمة الأحدث التي تنتحل هوية علامة تجارية بريدية شرق أوسطية بتاريخ 14 يوليو 2022.
وتماشياً مع بروتوكول الإفصاح، تبذل «جروب – آي بي» جهوداً كبيرة للتخفيف من حدة هذه التهديدات. في هذه الحالة، قام فريق الاستجابة التابع لمجموعة «جروب – آي بي» بتنبيه فرق الاستجابة للطوارئ الحاسوبية الإقليمية حول أسماء نطاقات التصيد النشطة، واستمر في مراقبة البنية التحتية في حال ظهور موارد ضارة جديدة تستغل موضوع خدمات التوصيل والبريد.
آلية عمل الخطة
قد يستلم العملاء الذين ينتظرون طلبية ما بريد إلكتروني أو رسالة نصية قصيرة من الخدمة البريدية الوطنية تطلب منهم دفع رسوم التوصيل أو التخليص الجمركي.
بعد النقر على الرابط الموجود في الرسالة، يتم إعادة توجيه العملاء إلى صفحة تصيد خبيثة تطلب تفاصيل بطاقتهم المصرفية من أجل معالجة عملية الدفع. وبمجرد إرسال العميل لتفاصيل البطاقة، يتم خصم مبلغ “الرسوم” من حسابه المصرفي وتحويله إلى مجرمي الإنترنت، إلى جانب تفاصيل بطاقتهم المصرفية.
كما يتم عادةً ترجمة نماذج التصيد الاحتيالي هذه بشكل كامل، إذ يمكن للمستخدم في دولة الإمارات العربية المتحدة رؤية اسم وهوية علامته التجارية وعملته البريدية المحلية. على سبيل المثال، تظهر الصورة الملتقطة لصفحة التصيد الاحتيالي المبينة أدناه، أنه يتعين على الضحية تحويل مبلغ 12.23 درهماً إماراتياً (حوالي 3.2 دولاراً أمريكياً). وعادةً ما يحاول هؤلاء المجرمين الحصول على مبالغ مالية أكبر.
بالإضافة إلى الاستخدام الشائع لهذه الحيل، لوحظ استخدام مجرمي الإنترنت أيضاً لتقنية الرجل الوسيط “Man-in-the-Middle” التي تعمل على تجاوز طبقة الحماية المتمثلة في رمز المرور لمرة واحدة (OTP) حيث تعمل هذه التقنية على استغلال بيانات بطاقة الدفع التي يتم إدخالها على صفحة التصيُّد الاحتيالي بواسطة الضحية لاستخدامها من قبل المحتال يدوياً أو تلقائياً في الموقع الإلكتروني الحقيقي لبدء المعاملة. ويقوم الضحية بعد ذلك بإدخال رمز المرور لمرة واحدة في صفحة التصيُّد الاحتيالي التي قد تشير إلى أن الرسوم المزعومة قد تم تحويلها بدلاً من ذلك إلى الحساب المصرفي لمجرمي الإنترنت.
قوالب وحزم ابتدائية للمحتالين
كما لوحظ استخدام قوالب تصيد مماثلة من قبل أسماء النطاقات التي تنتحل هوية شركات خدمات البريد والتوصيل في المنطقة. وقد تمكن محللو «جروب – آي بي» من تحديد حزم تصيد مستخدمة لاستهداف المستخدمين في الشرق الأوسط من خلال تقليد علامات تجارية بريدية محلية. وعادة ما تمثل حزم الخداع والتصيد ملفات أرشيفية تحتوي على مجموعة من البرامج النصية الشبيهة بوظيفة مواقع وصفحات التصيد الاحتيالي الإلكترونية. وتستخدم هذه الحزم لبناء مواقع إلكترونية احتيالية بسرعة وسهولة.
ويستخدم المهاجمون حزم تصيد خاصة بعلامات تجارية معينة، وتمتلك هذه الحزم خصائص متشابهة تتمثل في استخدام برمجية نصية تقوم بالتحقق من صحة رقم البطاقة المصرفية، وتضمن عدم قيام المستخدم بإدخال بطاقات غير صالحة أو غير موجودة.
كما تتضمن هذه البرمجية النصية المخصصة لمعالجة بيانات الإدخال أسماء غير تقليدية مثل jeddah.php و riyadh.php و dammam.php وغيرها اعتماداً على الموقع الجغرافي للعلامة التجارية التي تحاول صفحة التصيد الاحتيالي انتحال هويتها. تشير هذه الطريقة، بالإضافة إلى الاتصالات التي تتم بين أسماء نطاقات التصيد التي تم تحديدها، إلى أن الحملة التي تستهدف المستخدمين في الشرق الأوسط قد تم إطلاقها من قبل المجموعة الإجرامية نفسها.
توصيات لتجنب الاحتيال
• يُنصح المستخدمون بالتزام الحيطة والحذر عند النقر على الروابط المتضمنة في رسائل البريد الإلكتروني أو الرسائل النصية القصيرة، بغض النظر عن المرسل، وذلك لتجنب الوقوع فريسة لمثل هذه الحيل. كما يجب على المستخدمين استخدام المواقع الإلكترونية الرسمية فقط لتتبع طلبياتهم، حيث يمكنهم أيضاً إضافة تفاصيل الاتصال الخاصة بفرق دعم العملاء. ويجب العلم أن الشركات الشرعية المتخصصة بخدمات التوصيل لا ترسل عادة طلبات الدفع عن طريق الرسائل القصيرة أو البريد الإلكتروني.
• تعتبر عناوين (URL) المختصرة وعمليات إعادة التوجيه المطولة من علامات الخطر الواضحة، إذ يجب عدم النقر على هذه الروابط وعدم إدخال معلومات حساسة إلا إذا كنت واثقاً بنسبة 100% من شرعية الموقع الإلكتروني الذي يتم التعامل معه.
• ينصح دائماً بامتلاك بطاقة مصرفية افتراضية بحدود مالية محددة مسبقاً للتسوق الآمن عبر الإنترنت، بحيث إذا تم اختراقها، فلن يتمكن المحتالون من الوصول إلى كامل المدخرات.
• يستغل مجرمو الإنترنت عدم وجود مراقبة كافية وآليات قوية لحجب المواقع الاحتيالية التي تسيء استخدام أسماء العلامات التجارية المشروعة. ومع وجود مثل هذه التهديدات المعقدة، يتعين على الشركات أن تتصرف بسرعة، إذ يعد الاكتشاف المبكر للتهديدات أمراً ضرورياً لتقليل المخاطر الرقمية على العلامات التجارية المتأثرة وحماية الضحايا المحتملين. ويجب أن تتضمن آليات المراقبة والحجب الفعالة نظاماً آلياً لحماية المخاطر الرقمية يعمل بتقنية التعلم الآلي ويمتاز بتحديثات منتظمة لقاعدة البيانات الخاصة بالبنية التحتية للمجرمين وكل ما يتعلق بخططهم وأدواتهم.