رسالة بريد إلكتروني احتيالية: طلبك في الطريق
يجب التعامل بحذر مع رسائل البريد الإلكتروني غير المتوقعة المتعلقة بالمشتريات أو عمليات التسليم أو نشاط الحساب. فكثيراً ما يُخفي مجرمو الإنترنت رسائلهم الخبيثة تحت ستار مراسلات تجارية مشروعة، في محاولة للضغط على المتلقين لحملهم على اتخاذ إجراءات دون التحقق من هويتهم. وتُعد حملة البريد الإلكتروني "طلبك في الطريق" مثالاً على ذلك. وقد أكدت التحليلات الدقيقة أن هذه الرسائل هي رسائل بريد إلكتروني عشوائية خبيثة، ولا علاقة لها بأي شركات أو شركات شحن أو متاجر تجزئة أو منظمات شرعية.
جدول المحتويات
إشعارات شحن وهمية مصممة لخلق شعور بالإلحاح
صُممت رسائل البريد الإلكتروني التي تحمل عبارة "طلبك في الطريق" لتشبه إشعارات الشحن الأصلية. وعادةً ما تصل هذه الرسائل بعناوين تتضمن أرقام الطلبات ورموز مرجعية لجعلها تبدو موثوقة ومهنية.
يتم إبلاغ المستلمين بأن طردهم قد تم شحنه، ويُطلب منهم النقر على زر "عرض تفاصيل الشحن" للاطلاع على معلومات التتبع وتحديثات التسليم. صُممت الصياغة عمدًا لإثارة الفضول والشعور بالإلحاح، مما يزيد من احتمالية تفاعل المستلمين مع الرابط المرفق دون التدقيق في الرسالة.
في الواقع، لا تتعلق هذه الرسائل الإلكترونية بأي عملية شراء أو شحنة حقيقية. هدفها الوحيد هو إعادة توجيه المستلمين إلى موقع ويب خبيث مصمم لإصابة الأنظمة ببرامج ضارة.
الموقع الإلكتروني الخبيث وراء عملية الاحتيال
يؤدي النقر على الرابط المضمن إلى إعادة توجيه المستخدمين إلى صفحة احتيالية مستضافة على موقع increminder.com. تم تصميم الموقع ليشبه بوابة إدارة الطلبات أو الشحن، مما يعزز وهم الشرعية.
تزعم صفحة الويب أنه قد تم تجهيز معلومات الشحن، وتوضح أن تفاصيل الطلب متاحة للتنزيل. كما تحذر من أن الملف الذي تم تنزيله قد يكون مطلوبًا لاستلام الطرد، وهو أسلوب نفسي يهدف إلى الضغط على الزوار لحثهم على إتمام عملية التنزيل.
بدلاً من توفير معلومات التتبع أو وثائق الطلب، يقوم الموقع بتسليم ملف خبيث باسم 'ScreenConnect.ClientSetup.msi'. يتم تقديم هذا الملف على أنه برنامج تثبيت عادي لنظام التشغيل Windows ولكنه في الواقع يحتوي على نسخة مخترقة من برنامج ScreenConnect.
برامج الوصول عن بعد المصابة ببرامج خبيثة تشكل مخاطر جسيمة
يُعدّ برنامج ScreenConnect برنامجًا شرعيًا للتحكم عن بُعد بأجهزة المستخدمين، طوّرته شركة ConnectWise، ويستخدمه عادةً متخصصو دعم تكنولوجيا المعلومات لتقديم المساعدة عن بُعد وإدارة الأنظمة. مع ذلك، يُسيء مجرمو الإنترنت استخدام هذه الأدوات بشكل متكرر عن طريق تعديلها ونشر نسخ مُعدّلة منها قادرة على منح وصول غير مصرح به عن بُعد إلى أجهزة الضحايا.
بمجرد تشغيل برنامج التثبيت الخبيث، يمكن لأداة الوصول عن بُعد أن تعمل بصمت في الخلفية دون لفت الانتباه. وبذلك، قد يتمكن المهاجمون من السيطرة بشكل كامل على النظام المخترق وتنفيذ مجموعة واسعة من الأنشطة الخبيثة، بما في ذلك:
- سرقة الملفات السرية وبيانات الاعتماد المخزنة
- مراقبة نشاط المستخدم وجمع المعلومات الحساسة
- تثبيت برامج ضارة إضافية مثل برامج الفدية أو برامج التجسس
- إجراء معاملات احتيالية أو إساءة استخدام الحسابات عبر الإنترنت
نظراً لأن البرامج الضارة توفر وصولاً مستمراً عن بعد، يجب اعتبار الأنظمة المتأثرة مخترقة بالكامل.
كيف تُوصل حملات البريد الإلكتروني الخبيث البرامج الضارة
كثيراً ما تنشر حملات البريد العشوائي برامج ضارة إما عبر مرفقات خبيثة أو عبر روابط تقود إلى مواقع إلكترونية ضارة. وفي كثير من الحالات، تُخفى هذه الملفات على هيئة فواتير أو إيصالات أو مستندات شحن أو كشوف حسابات لتشجيع المستلمين على فتحها دون شك.
في هذه الحملة، يعتمد المهاجمون على رابط خبيث بدلاً من ملف مرفق مباشر. يُوجَّه المستخدمون الذين ينقرون على الرابط إلى بوابة طلبات وهمية، حيث يتم التلاعب بهم لتنزيل ملف التثبيت المصاب. بمجرد تشغيله، يُنشئ البرنامج الخبيث إمكانية الوصول عن بُعد مع بقائه غير مرئي إلى حد كبير للضحية.
تسمح هذه الطريقة للمهاجمين بتجاوز بعض مرشحات أمان البريد الإلكتروني، حيث يتم استضافة الحمولة الضارة خارجيًا بدلاً من إرفاقها مباشرة بالبريد الإلكتروني.
خطوات فورية للمستخدمين المتضررين
يجب على أي شخص قام بتنزيل أو تشغيل برنامج التثبيت 'ScreenConnect.ClientSetup.msi' أن يفترض احتمال حدوث اختراق غير مصرح به للنظام. يُنصح بشدة باتخاذ إجراء فوري للحد من الأضرار المحتملة.
ينبغي إجراء فحص كامل لمكافحة الفيروسات أو البرامج الضارة فوراً، وتغيير جميع كلمات المرور الحساسة المرتبطة بالجهاز المصاب من نظام منفصل وآمن. كما ينبغي مراقبة الحسابات المالية وحسابات البريد الإلكتروني وحسابات تسجيل الدخول الخاصة بالعمل بحثاً عن أي نشاط مشبوه.
يجب حذف البريد الإلكتروني الخبيث فوراً، وينبغي على المستلمين تجنب النقر على أي روابط أو تنزيل أي ملفات مرتبطة بالرسالة.
الحماية من عمليات الاحتيال المتعلقة بالتوصيل
لا تزال حملات التصيد الاحتيالي والبرامج الضارة التي تستهدف خدمات التوصيل فعّالة للغاية، لأنها تستغل عادات التسوق الإلكتروني الشائعة وتوقعات العملاء بتلقي تحديثات عن حالة الطرود. ويعتمد المهاجمون على سرعة استجابة المتلقين قبل تقييم مصداقية الرسالة بدقة.
يمكن للمستخدمين تقليل تعرضهم لهذه المخاطر من خلال التحقق من إشعارات الشحن مباشرةً عبر المواقع الإلكترونية الرسمية للمتاجر أو شركات الشحن، وتجنب التنزيلات من رسائل البريد الإلكتروني غير المرغوب فيها، والتعامل بحذر مع تنبيهات التسليم غير المتوقعة. فحتى رسائل البريد الإلكتروني التي تبدو أنيقة واحترافية قد تخفي وراءها تهديدات أمنية خطيرة تحت شعارات جذابة ولغة عاجلة.
System Messages
The following system messages may be associated with رسالة بريد إلكتروني احتيالية: طلبك في الطريق:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
