حملة التصيد الاحتيالي لخداع المستخدمين

ترجمة الى:

تم رصد حملة إلكترونية واسعة النطاق، تُنسب إلى جماعة تهديد مرتبطة بفيتنام وتُعرف باسم "AccountDumpling"، تستخدم خدمة Google AppSheet كآلية لتمرير عمليات التصيد الاحتيالي. وتقوم هذه العملية بتوزيع رسائل بريد إلكتروني خادعة بهدف رئيسي هو اختراق حسابات فيسبوك، وخاصة تلك المرتبطة بمستخدمي الشركات.

على عكس حملات التصيد الاحتيالي التقليدية، لا تعتمد هذه الحملة على أدوات ثابتة، بل على منظومة ديناميكية ومتطورة باستمرار. فهي تتضمن لوحات تحكم للمشغلين تعمل في الوقت الفعلي، وتقنيات متقدمة للتهرب من الحماية، وقناة منظمة لتحقيق الربح. تُعاد الحسابات المسروقة إلى سوق سوداء يسيطر عليها المهاجمون، مما يخلق حلقة إجرامية مستدامة. وقد تم اختراق ما يقارب 30,000 حساب على فيسبوك ضمن هذه الحملة.

جدول المحتويات

الثقة المُسلّحة: استغلال تطبيق Google AppSheet لتسليم البريد الإلكتروني

تبدأ سلسلة الهجمات برسائل بريد إلكتروني مُصممة بعناية تُحاكي رسائل دعم Meta. تستهدف هذه الرسائل أصحاب حسابات فيسبوك للأعمال، مُحذرةً إياهم من حذف حساباتهم الوشيك ما لم يتخذوا إجراءً فوريًا. ويتم حث الضحايا على تقديم طلبات استئناف عبر روابط مُضمنة.

يُعدّ استخدام بنية تحتية شرعية عاملاً أساسياً في فعالية الحملة. تُرسل رسائل البريد الإلكتروني من عنوان Google AppSheet (noreply@appsheet.com)، مما يُمكّنها من تجاوز العديد من فلاتر البريد العشوائي والأمان التقليدية. تُعزز هذه الاستراتيجية المصداقية وتزيد من احتمالية تفاعل المستخدمين.

تُوجّه هذه الرسائل، التي تحمل طابع الإلحاح، المتلقين إلى مواقع إلكترونية احتيالية مصممة لسرقة بيانات الاعتماد الحساسة. وقد لوحظت أنماط هجوم مماثلة في حملات سابقة، مما يشير إلى استمرار تحسين وإعادة استخدام الأساليب الناجحة.

التلاعب النفسي: هندسة “الذعر الميتافيزيقي”

يستخدم المهاجمون مجموعة متنوعة من أساليب الهندسة الاجتماعية لإثارة الذعر وإجبار المستخدمين على الاستجابة السريعة. صُممت هذه الأساليب استراتيجياً لتقليد اتصالات منصة ميتا المشروعة واستغلال المواقف القائمة على الخوف.

تشمل فئات الطُعم الرئيسية ما يلي:

التهديدات المتعلقة بالحساب : ادعاءات بتعليق الحساب، أو انتهاكات حقوق النشر، أو متطلبات التحقق العاجلة.
تنبيهات أمنية : إشعارات بتسجيلات دخول مشبوهة أو فحوصات أمنية إلزامية
حوافز الأعمال والمكانة : عروض التحقق من الشارة الزرقاء أو فرص التوظيف التنفيذي
انتحال صفة الشركات : عروض عمل وهمية من علامات تجارية معروفة لبناء الثقة وبدء التفاعل

تم تصميم كل خدعة للتلاعب بسلوك المستخدم، مما يزيد من احتمالية الكشف عن بيانات الاعتماد.

بنية تحتية متعددة القنوات للتصيد الاحتيالي: آليات توصيل متنوعة

تتميز هذه الحملة باستخدامها لمنصات استضافة متعددة وطرق توصيل متنوعة، حيث يؤدي كل منها دورًا محددًا في جمع البيانات وتسريبها. وتشمل مجموعات الهجوم الرئيسية الأربع ما يلي:

صفحات التصيد الاحتيالي المستضافة على منصة Netlify: بوابات مزيفة لمركز مساعدة فيسبوك مصممة لسرقة بيانات تسجيل الدخول والبيانات الشخصية وبطاقات الهوية الصادرة عن جهات حكومية. تُرسل البيانات المجمعة إلى قنوات تيليجرام يتحكم بها المهاجمون.
صفحات "التحقق الأمني" المستضافة على منصة Vercel: تحاكي هذه الصفحات بوابات الخصوصية أو الأمان الخاصة بمنصة Meta، وتتضمن تحديات CAPTCHA وهمية. يُطلب من الضحايا إعادة إدخال بيانات الاعتماد وتقديم رموز المصادقة الثنائية (2FA)، والتي يتم تسريبها جميعًا في الوقت الفعلي.
ملفات PDF المستضافة على Google Drive كطعم: تتنكر هذه المستندات في صورة تعليمات التحقق الرسمية، وتقوم بإعادة توجيه المستخدمين إلى صفحات التصيد الاحتيالي التي تجمع كلمات المرور ورموز التحقق الثنائي وصور الهوية وحتى لقطات شاشة المتصفح باستخدام البرامج النصية المضمنة.
عمليات التوظيف الوهمية: انتحال صفة الشركات الكبرى لإضفاء المصداقية، يليه إعادة التوجيه إلى منصات خبيثة لمزيد من التفاعل وجمع البيانات.

تحتوي قنوات تيليجرام المرتبطة بهذه المجموعات مجتمعةً على ما يقارب 30,000 سجل للضحايا. ويتركز المتضررون في أمريكا الشمالية وأوروبا وآسيا وأستراليا، وقد فقد الكثير منهم إمكانية الوصول إلى حساباتهم.

رؤى حول تحديد مصادر التأثير: تتبع الجهات الفاعلة وراء الحملة

ظهرت أدلة حاسمة لتحديد هوية المُنشئ من خلال البيانات الوصفية المُضمنة في ملفات PDF المُستخدمة في عمليات التصيد الاحتيالي، والتي تم إنشاؤها عبر حساب مجاني على منصة Canva. تُشير الملفات إلى أن "PHẠM TÀI TÂN" هو المُنشئ، مما يُوفر رابطًا مباشرًا بالشخص الذي يُحتمل أن يكون مسؤولاً عن هذه العملية.

كشفت معلومات إضافية من مصادر مفتوحة عن موقع إلكتروني ذي صلة، هو "phamtaitan.vn"، يُروّج لخدمات التسويق الرقمي. وتشير التصريحات العلنية المرتبطة بهذا الكيان إلى تركيزه على موارد التسويق والاستشارات الاستراتيجية، مما يوحي بامتلاكه مهارات متعددة الاستخدامات يُمكن توظيفها لأغراض مشروعة وغير مشروعة على حد سواء.

الاقتصاد الخفي: استغلال الهويات الرقمية المخترقة لتحقيق الربح

تُجسّد هذه الحملة اتجاهاً أوسع نطاقاً في الجرائم الإلكترونية: وهو تسليع الهويات الرقمية. فحسابات فيسبوك المخترقة ليست مجرد نقاط وصول، بل أصول قيّمة ضمن سوق سوداء مزدهرة.

يستغل المهاجمون الوصول إلى الحسابات بناءً على عوامل مثل الانتماء التجاري، وسجل الإعلانات، وإمكانية استعادة الحساب. تُظهر هذه العملية كيف يتم إعادة توظيف منصات موثوقة، مثل Google AppSheet وNetlify وVercel وغيرها، كطبقات بنية تحتية للتوصيل والاستضافة وتحقيق الربح.

تُعد حملة AccountDumpling مثالاً واضحاً على كيفية دمج الجهات الفاعلة في التهديدات الحديثة للهندسة الاجتماعية وخدمات الحوسبة السحابية والاقتصادات السرية في مؤسسة إجرامية إلكترونية متماسكة وقابلة للتوسع.

إعلان شركة Digital River GmbH، وهي شركة معالجة المدفوعات التابعة لشركة EnigmaSoft، إفلاسها لا يؤثر على حماية عملاء SpyHunter من البرامج الضارة

بحث

تغيير المنطقة

حملة التصيد الاحتيالي لخداع المستخدمين

الثقة المُسلّحة: استغلال تطبيق Google AppSheet لتسليم البريد الإلكتروني

التلاعب النفسي: هندسة “الذعر الميتافيزيقي”

بنية تحتية متعددة القنوات للتصيد الاحتيالي: آليات توصيل متنوعة

رؤى حول تحديد مصادر التأثير: تتبع الجهات الفاعلة وراء الحملة

الاقتصاد الخفي: استغلال الهويات الرقمية المخترقة لتحقيق الربح

إرسال تعليق

الشائع

عملية احتيال في منصة تداول العملات الرقمية Vcex

Strimenur.co.in

حملة NGate الخبيثة

الأكثر مشاهدة

Fuq.com

Eporner.com

XHAMSTER Ransomware