رسائل بريد إلكتروني احتيالية لتحديث حالة التجارة عبر DHL Express
قام باحثو الأمن السيبراني بتحليل رسائل البريد الإلكتروني الخاصة بتحديث حالة الشحنات من DHL Express Commerce، وتوصلوا إلى أنها رسائل تصيد احتيالي مصممة لسرقة بيانات تسجيل دخول المستخدمين. تتنكر هذه الرسائل في هيئة إشعارات رسمية من DHL Express Commerce، وتدّعي زوراً للمستلمين أنه تم مشاركة ثلاثة مستندات معهم.
تصل الرسائل عادةً بعنوان "DHL Express Commerce"، وهي مصممة بعناية لتشبه إشعارات منصات مشاركة المستندات. ولزيادة مصداقيتها، تعرض الرسائل سطرًا يبدو كمرفق باسم "DHL Express Invoice Payment.docx". إلا أنه ليس ملفًا مرفقًا حقيقيًا، بل هو عنصر قابل للنقر مصمم لخداع المستلمين وحثهم على التفاعل مع البريد الإلكتروني.
بحسب محتوى الرسالة، فقد رصد النظام ثلاثة مستندات تمت مشاركتها مع المستلم ويمكن الوصول إليها على الفور.
جدول المحتويات
فخ بوابة المستندات المزيفة
تعتمد عملية الاحتيال على إقناع المستلمين بالنقر إما على المرفق المزيف أو زر "عرض المستندات". وبغض النظر عن الخيار المُختار، فإن كلا الخيارين يُوجه المستخدمين إلى نفس الوجهة الاحتيالية.
الصفحة المذكورة مُستضافة على منصة Firebase Storage التابعة لشركة جوجل. ورغم أن Firebase خدمة استضافة سحابية شرعية، إلا أن مجرمي الإنترنت يستغلون المنصات الموثوقة بشكل متكرر لاستضافة محتوى ضار، لأن هذه النطاقات غالباً ما تبدو جديرة بالثقة وقد تتجاوز إجراءات الحماية الأساسية.
بمجرد وصول الزوار إلى الصفحة، تظهر لهم استمارة تسجيل دخول مزيفة لشركة DHL Express تطلب عنوان بريد إلكتروني وكلمة مرور. على الرغم من مظهرها، لا ترتبط الصفحة بشركة DHL على الإطلاق. تُرسل أي بيانات يتم إدخالها في الاستمارة مباشرةً إلى المحتالين الذين يديرون هذه الحملة.
لماذا تُعدّ بيانات الاعتماد المسروقة قيّمة للغاية؟
تُعدّ بيانات تسجيل الدخول من بين أكثر الأصول المرغوبة لدى مجرمي الإنترنت. إذ يعيد العديد من الأفراد استخدام كلمة المرور نفسها عبر حسابات متعددة على الإنترنت، مما يجعل مجموعة بيانات تسجيل الدخول المخترقة ذات قيمة عالية للغاية.
عندما يحصل المهاجمون على معلومات تسجيل الدخول عبر حملات التصيد الاحتيالي، فإنهم غالبًا ما يختبرون هذه البيانات على خدمات متنوعة، بما في ذلك منصات البريد الإلكتروني، ومواقع التسوق، وحسابات التخزين السحابي، وشبكات التواصل الاجتماعي. ويمكن أن تؤدي عمليات اختراق الحسابات الناجحة إلى عمليات شراء غير مصرح بها، وسرقة الهوية، والاستيلاء على الحسابات، وخسائر مالية، وفقدان الوصول إلى الخدمات الإلكترونية المهمة.
لهذا السبب، يجب على المستلمين عدم إدخال بيانات الاعتماد على مواقع الويب التي يتم الوصول إليها من خلال رسائل البريد الإلكتروني غير المرغوب فيها دون التحقق أولاً من شرعية الرسالة والوجهة.
علامات تحذيرية تكشف عملية الاحتيال
تكشف عدة مؤشرات عن الطبيعة الاحتيالية لهذه الرسائل الإلكترونية:
- وتزعم الرسالة أنه تم تبادل المستندات بشكل غير متوقع وتشجع على التفاعل الفوري.
- إن ملف "DHL Express Invoice Payment.docx" المعروض ليس سوى عنصر إغراء قابل للنقر عليه وليس مرفقًا حقيقيًا.
- يؤدي كلا العنصرين القابلين للنقر إلى صفحة تسجيل الدخول نفسها بدلاً من خدمة مشاركة المستندات الشرعية.
- يطلب الموقع الإلكتروني بيانات اعتماد البريد الإلكتروني على الرغم من عدم وجود أي صلة شرعية بينه وبين شركة DHL.
- تحاول هذه الرسالة التواصلية الاستفادة من سمعة علامة تجارية موثوقة لكسب ثقة المتلقي.
الصلة المحتملة بالبرمجيات الخبيثة
لا تقتصر حملات التصيد الاحتيالي دائماً على سرقة بيانات الاعتماد. ففي بعض الحالات، تُستخدم رسائل البريد الإلكتروني العشوائية المماثلة أيضاً لنشر البرامج الضارة.
كثيراً ما يُخفي مجرمو الإنترنت ملفاتهم الخبيثة على هيئة فواتير، أو إشعارات شحن، أو تأكيدات دفع، أو عقود، أو غيرها من مستندات الأعمال الروتينية. وقد تُسلّم هذه الملفات الضارة على هيئة برامج تنفيذية، أو ملفات مضغوطة، أو مستندات PDF، أو نصوص برمجية، أو ملفات Microsoft Office تحتوي على برمجيات خبيثة مُضمّنة.
غالباً ما تتطلب الإصابات نوعاً من تفاعل المستخدم قبل تفعيل البرامج الضارة. فتح مرفق خبيث، أو تفعيل وحدات الماكرو، أو تشغيل ملف تم تنزيله، أو النقر على رابط خادع، كلها عوامل قد تؤدي إلى بدء عملية الاختراق. لذا، فإن توخي الحذر عند التعامل مع رسائل البريد الإلكتروني غير المرغوب فيها يقلل بشكل كبير من احتمالية الإصابة.
كيفية الرد في حال استلامك البريد الإلكتروني
إذا وصلتك هذه الرسالة الإلكترونية، فإنّ أفضل طريقة هي تجنّب التفاعل مع أي روابط أو أزرار أو مرفقات بداخلها. يجب حذف الرسالة فورًا. على من قاموا بإدخال بيانات اعتمادهم عبر صفحة تسجيل الدخول المزيفة تغيير كلمات المرور المتأثرة دون تأخير، وتحديث أي حسابات أخرى تستخدم نفس بيانات الاعتماد. يُنصح بتفعيل المصادقة متعددة العوامل كلما أمكن ذلك، لتوفير طبقة حماية إضافية ضد الوصول غير المصرح به.
التقييم النهائي
رسالة البريد الإلكتروني التي تدّعي أنها تحديث حالة الشحنة من DHL Express Commerce هي عملية احتيال تهدف إلى سرقة بيانات تسجيل الدخول عن طريق انتحال صفة DHL Express Commerce. يُعيد كلٌّ من سطر المرفقات المزيف وزر "عرض المستندات" توجيه المستخدمين إلى صفحة تسجيل دخول احتيالية واحدة مُستضافة عبر خدمة سحابية مُستغلة. ولأن هذه الحملة لا تمتّ بصلة إلى DHL أو أي جهة شرعية، يجب على المُستلمين التعامل مع هذه الرسائل على أنها خبيثة، وتجنّب التفاعل مع محتواها، وحذفها من صناديق بريدهم الوارد فورًا.
System Messages
The following system messages may be associated with رسائل بريد إلكتروني احتيالية لتحديث حالة التجارة عبر DHL Express:
Subject: DHL Express Commerce |