DocuSign - عملية احتيال عبر البريد الإلكتروني تتعلق بمستندات القسم القانوني
قد تُشكّل رسائل البريد الإلكتروني غير المتوقعة مخاطر جسيمة على الأمن السيبراني، لا سيما عندما تُوحي بضرورة مُلحة وتبدو وكأنها صادرة عن علامات تجارية موثوقة. غالبًا ما يستغل مجرمو الإنترنت الشركات المعروفة لجعل الرسائل الاحتيالية تبدو مُقنعة، ما يزيد من احتمالية تفاعل المُستلمين معها. تُعدّ رسائل البريد الإلكتروني الاحتيالية التي تحمل اسم "DocuSign - مستند القسم القانوني" مثالًا على ذلك. لا ترتبط هذه الرسائل بشركة DocuSign أو أي شركة أو مؤسسة أو جهة شرعية، بل هي جزء من حملة بريد إلكتروني عشوائية خبيثة مُصممة لنشر برامج ضارة.
جدول المحتويات
طلب وثيقة قانونية مزورة
قام باحثو الأمن السيبراني بتحليل هذه الرسائل الإلكترونية، وتوصلوا إلى أنها رسائل بريد إلكتروني خبيثة تهدف إلى خداع المستلمين لحملهم على تنزيل برامج ضارة. عادةً ما تصل هذه الرسائل بعنوان "ملف تنظيمي لسلسلة التوريد، رقم التعريف: SCR-392847"، وتدّعي أنها صادرة عن الإدارة القانونية لشركة DocuSign.
بحسب الرسالة، تم إرسال مستند للتوقيع الإلكتروني، ويجب مراجعته خلال ثلاثة أيام. ولتعزيز مصداقية الطلب، يحتوي البريد الإلكتروني على زر بارز بعنوان "مراجعة المستند"، ويُقدّم "طريقة توقيع بديلة" مصحوبة برمز أمان. صُممت هذه العناصر بعناية فائقة لإضفاء مظهر الأصالة والموثوقية على الطلب.
على الرغم من أن DocuSign منصة شرعية للتوقيع الإلكتروني، إلا أنها لا علاقة لها بهذه الحملة. علاوة على ذلك، فإن عنوان البريد الإلكتروني للمرسل ينتمي إلى نطاق تابع لجهة خارجية غير ذات صلة، وليس إلى DocuSign نفسها.
الهدف الحقيقي وراء البريد الإلكتروني
الهدف النهائي من هذه الخدعة هو إقناع المتلقين بتنزيل ملف صورة قرص ISO خبيث. سواء نقر الضحايا على الزر المرفق أو اتبعوا التعليمات البديلة، فإنهم يُوجَّهون للحصول على الملف الضار.
يمكن لنظام ويندوز تحميل ملفات ISO مباشرةً كأقراص افتراضية، مما يجعلها أدوات جذابة للمجرمين الإلكترونيين. يلجأ المهاجمون غالبًا إلى هذا النوع من الملفات لأنه قد يتجاوز أحيانًا مرشحات الأمان التي من شأنها حظر المرفقات الخبيثة الأكثر وضوحًا.
بمجرد تحميل ملف ISO، سيظهر ملف تنفيذي واحد باسم:
'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'
اسم الملف مُضللٌ عمدًا. فإضافة اللاحقة ".DOC" تهدف إلى إظهار الملف كمستند Microsoft Word غير ضار. في الواقع، تُشير اللاحقة ".exe" إلى أنه برنامج تنفيذي قادر على تشغيل تعليمات برمجية على جهاز الضحية.
ماذا يحدث بعد فتح الملف؟
لم يتم تحديد نوع البرمجيات الخبيثة التي تم نشرها عبر هذه الحملة بشكل قاطع. ومع ذلك، قد يقوم الملف بتثبيت مجموعة متنوعة من التهديدات الخطيرة، بما في ذلك برامج الفدية، وبرامج التجسس المصرفية، وبرامج سرقة بيانات الاعتماد، وبرامج تسجيل ضغطات المفاتيح، وبرامج التجسس للتحكم عن بُعد، أو غيرها من أنواع البرامج الخبيثة.
تشمل العواقب المحتملة ما يلي:
- سرقة أسماء المستخدمين وكلمات المرور والمعلومات المالية
- سرقة الهوية، والخسائر المالية، والوصول غير المصرح به إلى النظام، وتشفير البيانات
نظراً لأن قدرات البرامج الضارة لا تزال مجهولة، يجب التعامل مع أي تفاعل مع الملف التنفيذي على أنه حادث أمني خطير.
علامات تحذيرية تكشف عملية الاحتيال
على الرغم من المظهر المقنع للرسالة، إلا أن عدة مؤشرات تدل على نشاط احتيالي. يعتمد البريد الإلكتروني بشكل كبير على عنصر الاستعجال من خلال تحديد مهلة ثلاثة أيام لمراجعة المستندات. كما أنه يشير إلى مُعرّف ملف قانوني لخلق شعور بالأهمية والضغط على المتلقين للتصرف بسرعة دون التحقق من الطلب.
يُعدّ استخدام اسم علامة تجارية موثوقة مثل DocuSign أسلوبًا شائعًا آخر في الهندسة الاجتماعية. يدرك مجرمو الإنترنت أن المستخدمين يميلون أكثر إلى الثقة بالخدمات المألوفة، لا سيما عندما تبدو الرسالة احترافية وتحتوي على تفاصيل مثل رموز التحقق أو تعليمات التوقيع.
ماذا تفعل إذا تلقيت هذه الرسالة الإلكترونية؟
ينبغي على المستلمين تجنب التفاعل مع الرسالة بأي شكل من الأشكال. وأفضل طريقة هي حذف البريد الإلكتروني فوراً والامتناع عن فتح المرفقات أو النقر على الروابط أو تنزيل الملفات أو اتباع أي تعليمات واردة في الرسالة.
ينبغي على الأفراد الذين قاموا بتنزيل الملف أو تشغيله بالفعل فصل الجهاز المصاب عن الشبكات متى أمكن ذلك، وإجراء فحص شامل باستخدام برنامج موثوق لمكافحة الفيروسات أو برامج أمان نقاط النهاية. كما ينبغي تغيير أي كلمات مرور يُحتمل اختراقها من جهاز نظيف، خاصةً إذا كانت هناك احتمالية لتعرض حسابات حساسة للخطر.
كيف تنشر حملات البريد العشوائي البرامج الضارة
تُعدّ الحملة التي استهدفت شركة DocuSign مجرد مثال واحد على اتجاه أوسع في الجرائم الإلكترونية. ولا تزال رسائل البريد الإلكتروني العشوائية الخبيثة إحدى أكثر الطرق شيوعًا لنشر البرامج الضارة. إذ يُخفي المهاجمون عادةً المحتوى الضار على هيئة فواتير أو إشعارات قانونية أو تحديثات تسليم أو تنبيهات حساب أو مستندات تجارية.
تشمل صيغ نشر البرامج الضارة الشائعة ملفات ZIP وRAR، والملفات التنفيذية، ومستندات PDF، وملفات Microsoft Office، والبرامج النصية، وصيغ صور الأقراص مثل ملفات ISO وIMG. تبدأ بعض الملفات الضارة عملية الإصابة بمجرد فتحها، بينما يتطلب البعض الآخر إجراءات إضافية من المستخدم، مثل تفعيل وحدات الماكرو، أو استخراج المحتوى المؤرشف، أو تشغيل الملفات التنفيذية المضمنة.
الخاتمة
تُظهر عملية الاحتيال عبر البريد الإلكتروني "DocuSign - مستند القسم القانوني" كيف يستغل مجرمو الإنترنت انتحال العلامات التجارية الموثوقة، والرسائل ذات الطابع القانوني، وإثارة شعور زائف بالإلحاح لجذب الضحايا إلى تثبيت برامج ضارة. ورغم أن الرسالة قد تبدو أصلية للوهلة الأولى، إلا أن هدفها الحقيقي هو إصابة الأنظمة وربما اختراق المعلومات الحساسة. لذا، يبقى توخي الحذر عند التعامل مع رسائل البريد الإلكتروني غير المرغوب فيها، وخاصة تلك التي تطلب اتخاذ إجراء فوري أو تنزيل ملفات، من أكثر وسائل الحماية فعالية ضد هذه التهديدات.
System Messages
The following system messages may be associated with DocuSign - عملية احتيال عبر البريد الإلكتروني تتعلق بمستندات القسم القانوني:
Subject: Supply Chain Regulatory Filing ID#SCR-392847 |