احذر! هجمات التصيد الاحتيالي أصبحت أكثر ذكاءً مع التحقق الفوري من البريد الإلكتروني

يُطوّر مجرمو الإنترنت أساليبهم بتطور جديد ومقلق في سرقة بيانات الاعتماد، باستخدام التحقق الفوري من البريد الإلكتروني لجعل هجمات التصيد الاحتيالي أكثر فعاليةً وصعوبةً في اكتشافها. وقد رصد باحثون في شركة Cofense هذا التكتيك المتطور وأطلقوا عليه اسم "التصيد الاحتيالي بالتحقق الدقيق" - وهي طريقة تُضيّق نطاق قائمة الأهداف لتقتصر على عناوين البريد الإلكتروني التي تم التأكد من نشاطها وقيمتها.

بخلاف حملات التصيد الاحتيالي التقليدية التي تستهدف نطاقًا واسعًا وتأمل في الحصول على عدد قليل من الضحايا، يتميز هذا النهج الجديد بالدقة والتخطيط. فبدلًا من إرسال صفحات تسجيل دخول احتيالية لمستخدمين عشوائيين، يتحقق المهاجمون أولًا من وجود عنوان البريد الإلكتروني المُدخل في صفحة التصيد الاحتيالي في قاعدة بيانات الأهداف المُحصّلة مسبقًا. فإذا كان صحيحًا، تُعرض على الضحية شاشة تسجيل دخول مزيفة مصممة لسرقة بيانات الاعتماد. وإذا لم يكن كذلك، يُعاد توجيهه إلى موقع آمن مثل ويكيبيديا، مما يُساعد موقع التصيد الاحتيالي على تجنب اكتشافه بواسطة أجهزة فحص الأمان الآلية.

يُتاح هذا التحقق الفوري من خلال تضمين أداة للتحقق من صحة البريد الإلكتروني، قائمة على واجهة برمجة التطبيقات (API) أو جافا سكريبت، في مجموعة أدوات التصيد الاحتيالي. والنتيجة؟ بيانات مسروقة بجودة أعلى، وجهد أقل، وحملة تصيد احتيالي يصعب على أدوات الأمن السيبراني اكتشافها وإيقافها.

تصفية الضحايا لتحقيق أقصى قدر من التأثير

تُحذّر شركة Cofense من أن هذه التقنية لا تزيد فقط من فرص سرقة بيانات الاعتماد من الحسابات الحقيقية المُستخدمة، بل تُعقّد أيضًا عمل صناديق الحماية الآلية وأدوات الزحف المُصمّمة لاكتشاف المواقع الضارة. غالبًا ما تفشل هذه الأنظمة في اجتياز فحص التحقق، مما يسمح لصفحة التصيّد الاحتيالي بالبقاء نشطة لفترة أطول وتجنب تصنيفها كمُريبة.

يمنح هذا المستوى من التصفية الجهاتَ المُهدِّدة ميزةً كبيرة. فمن خلال التركيز على الأهداف المُوثَّقة، يُقلِّلون من خطر كشفهم ويزيدون عائد استثمارهم. كما يُساعد هذا الأسلوب على إطالة عمر حملات التصيُّد الاحتيالي، مما يُصعِّب على المُدافعين مُواكبتها.

خدعة التصيد الاحتيالي لحذف الملفات تستخدم هجومًا مزدوجًا

ومما يزيد من خطورة الأمر، أن المهاجمين يدمجون هذه الأساليب المتطورة مع استراتيجيات الهندسة الاجتماعية. وقد رُصدت مؤخرًا حملة تستخدم تذكيرات حذف الملفات كطُعم. يتلقى الضحايا بريدًا إلكترونيًا يبدو أنه رابط لملف PDF مُجدول للحذف من منصة استضافة ملفات موثوقة، files.fm. وبالضغط على الرابط، يتم نقلهم إلى خدمة الاستضافة الأصلية، حيث يمكنهم الوصول إلى ما يبدو أنه ملف PDF.

إليكم الخدعة: يُعرض على المستخدمين خياران: المعاينة أو التنزيل. تفتح المعاينة صفحة تسجيل دخول مزيفة لمايكروسوفت تهدف إلى جمع بيانات الاعتماد، بينما يُفعّل التنزيل تثبيت ملف تنفيذي يُخفي نفسه على أنه Microsoft OneDrive. البرنامج في الواقع هو ScreenConnect، وهي أداة سطح مكتب عن بُعد شرعية من ConnectWise، وكثيرًا ما يُسيء استخدامها جهات تهديد للوصول غير المصرح به.

وفقًا لشركة Cofense، صُمم الهجوم بذكاء للتلاعب بسلوك المستخدم. يُجبر الضحايا على الاختيار بين خيارين متساويين في الخطورة، كل منهما يؤدي إلى اختراق أنظمتهم بطرق مختلفة. يضمن هذا الإعداد المزدوج تحقيق الجهة المُهدّدة لهدفها، سواءً كان سرقة بيانات الاعتماد أو نشر برامج ضارة.

التصيد الاحتيالي الممزوج بالوصول عن بُعد وتكتيكات التصيد الصوتي

في تطورٍ مُقلقٍ آخر، كشف باحثو الأمن السيبراني عن حملة هجومية متعددة المراحل تجمع بين التصيد الاحتيالي والاحتيال الهاتفي (التصيد الصوتي)، وأدوات الوصول عن بُعد، وتقنيات "العيش من الأرض". وتتوافق هذه العملية المتطورة مع مجموعة التهديدات Storm-1811 (المعروفة أيضًا باسم STAC5777).

يبدأ الهجوم برسالة من Microsoft Teams تحتوي على حمولة PowerShell خبيثة. بمجرد الوصول الأولي، يستخدم المهاجمون ميزة Quick Assist من Microsoft للتحكم عن بُعد في النظام. ومن هناك، يُثبّتون برامج شرعية مثل TeamViewer إلى جانب ملف DLL خبيث مُحمّل جانبيًا، وأخيرًا ينشرون بابًا خلفيًا للتحكم والأوامر قائمًا على JavaScript باستخدام Node.js.

تُسلّط هذه الحوادث الضوء على التعقيد والإبداع المتزايدين لتهديدات التصيد الاحتيالي في عصرنا الحالي. فباستخدام تكتيكات تجمع بين التطور التقني والتلاعب النفسي، ينجح المهاجمون في تجاوز الدفاعات التقليدية وخداع حتى المستخدمين الحذرين.

لا يزال اليقظة خير وسيلة للدفاع. يجب على المؤسسات أن تبقى على اطلاع دائم بهذه التهديدات الناشئة، وعلى المستخدمين التفكير مليًا قبل النقر على الروابط أو إدخال بيانات الاعتماد أو تنزيل الملفات، مهما بدت شرعية.