تستخدم عملية التصيد الاحتيالي الجديدة رسومات Google وروابط WhatsApp المختصرة
اكتشف باحثو الأمن السيبراني حملة تصيد جديدة تستفيد من رسومات Google والروابط المختصرة التي تم إنشاؤها عبر WhatsApp لتجنب الكشف وخداع المستخدمين للنقر على الروابط الزائفة المصممة لسرقة المعلومات الحساسة.
“اختار المهاجمون مجموعة من أشهر المواقع الإلكترونية في مجال الحوسبة لصياغة التهديد، بما في ذلك Google وWhatsApp لاستضافة عناصر الهجوم، وموقع مشابه لـ Amazon لجمع معلومات الضحية”، كما قال أشوين فامشي، الباحث في مجال الأمن في مينلو. قال. “يعد هذا الهجوم مثالاً رائعًا على العيش خارج المواقع الموثوقة (الكثير) تهديد.”
نقطة البداية للهجوم هي رسالة بريد إلكتروني تصيدية توجه المستلمين إلى رسم يبدو أنه رابط التحقق من حساب أمازون. تتم استضافة هذا الرسم، من جانبه، على رسومات Google، في محاولة واضحة لتجنب اكتشافه.
إن إساءة استخدام الخدمات المشروعة له فوائد واضحة للمهاجمين من حيث أنها ليست مجرد حلول منخفضة التكلفة، ولكن الأهم من ذلك أنها توفر طريقة سرية للاتصال داخل الشبكات، حيث من غير المرجح أن يتم حظرها بواسطة المنتجات الأمنية أو جدران الحماية.
وقال فامشي: “الشيء الآخر الذي يجعل رسومات Google جذابة في بداية الهجوم هو أنها تسمح للمستخدمين (في هذه الحالة، المهاجم) بتضمين روابط في رسوماتهم”. “قد تمر مثل هذه الروابط بسهولة دون أن يلاحظها المستخدمون، خاصة إذا شعروا بإحساس بالإلحاح بشأن تهديد محتمل لحسابهم على أمازون.”
يتم نقل المستخدمين الذين ينتهي بهم الأمر بالنقر فوق رابط التحقق إلى صفحة تسجيل دخول مشابهة لـ Amazon، مع عنوان URL الذي تم إنشاؤه على التوالي باستخدام اثنين من أدوات اختصار عناوين URL المختلفة – WhatsApp (“l.wl”[.]co”) متبوعًا بـ qrco[.]de – كطبقة إضافية من التشويش وخداع الماسحات الضوئية لعناوين URL الأمنية.
تم تصميم الصفحة المزيفة لجمع بيانات الاعتماد والمعلومات الشخصية وتفاصيل بطاقة الائتمان، وبعد ذلك يتم إعادة توجيه الضحايا إلى صفحة تسجيل الدخول الأصلية المخادعة إلى أمازون. وكخطوة إضافية، يصبح الوصول إلى صفحة الويب غير ممكن من نفس عنوان IP بمجرد التحقق من صحة بيانات الاعتماد.
ويأتي هذا الكشف في الوقت الذي حدد فيه الباحثون ثغرة في آليات مكافحة التصيد الاحتيالي في Microsoft 365 والتي يمكن إساءة استخدامها لزيادة خطر قيام المستخدمين بفتح رسائل البريد الإلكتروني التصيدية.
تستلزم الطريقة استخدام خداع CSS لإخفاء “تلميح أمان جهة الاتصال الأولى”، الذي ينبه المستخدمين عندما يتلقون رسائل بريد إلكتروني من عنوان غير معروف. مايكروسوفت، التي اعترفت بالمشكلة، لم تصدر بعد إصلاحًا.
“تم إضافة نصيحة سلامة جهة الاتصال الأولى مسبقًا إلى نص البريد الإلكتروني بتنسيق HTML، مما يعني أنه من الممكن تغيير طريقة عرضها من خلال استخدام علامات نمط CSS،” شركة الأمن السيبراني النمساوية Certitude قال. “يمكننا أن نأخذ هذه الخطوة إلى الأمام، ونزيف الرموز التي يضيفها Microsoft Outlook إلى رسائل البريد الإلكتروني المشفرة و/أو الموقعة.”
إرسال التعليق