هجمات تصيّد احتيالي دقيقة التوجيه تستخدم التحقق اللحظي من البريد الإلكتروني لسرقة بيانات الدخول

هجمات تصيّد احتيالي دقيقة التوجيه تستخدم التحقق اللحظي من البريد الإلكتروني لسرقة بيانات الدخول
هجمات تصيّد احتيالي دقيقة التوجيه تستخدم التحقق اللحظي من البريد الإلكتروني لسرقة بيانات الدخول
شارك هذا الخبر

كشف باحثو الأمن السيبراني عن نوع جديد من حملات التصيّد الاحتيالي تستهدف سرقة بيانات الاعتماد (كلمات المرور) من خلال التأكد أولًا من أن البريد الإلكتروني للضحية مرتبط بحساب نشط وفعّال.

وأطلقت شركة Cofense على هذه التقنية اسم “التصيّد الدقيق التحقق” (Precision-validating phishing)، حيث تعتمد على التحقق اللحظي للبريد الإلكتروني قبل عرض صفحة تسجيل الدخول المزيفة، لضمان أن البيانات المسروقة تنتمي لحسابات نشطة وقيّمة.

“تُحسّن هذه التقنية من فعالية الهجوم وتزيد من نسبة النجاح، إذ يتفاعل المهاجمون فقط مع قائمة مختارة مسبقًا من حسابات البريد الإلكتروني الفعالة”، وفقًا لـ Cofense.

تختلف هذه الهجمات عن الأساليب التقليدية المعروفة بـ “الرش والدعاء” (spray-and-pray)، والتي تعتمد على إرسال عدد ضخم من رسائل البريد العشوائي دون تمييز، على أمل أن يقع البعض في الفخ. في المقابل، تركّز الطريقة الجديدة على الهجوم الموجّه (spear-phishing)، حيث يتم التحقق أولًا من نشاط الحساب المستهدف.

في هذا السياق، عند إدخال الضحية لبريده الإلكتروني في صفحة التصيّد، يتم التحقق منه أولًا في قاعدة بيانات لدى المهاجم. إذا كان البريد موجودًا، يتم عرض صفحة تسجيل دخول مزيفة. وإذا لم يكن موجودًا، يتم توجيه الضحية إلى صفحة آمنة مثل Wikipedia لتجنب الكشف من قِبل أدوات الحماية الإلكترونية.

يتم تنفيذ هذا التحقق من خلال دمج خدمة تحقق عبر JavaScript أو واجهة برمجة تطبيقات (API) ضمن أدوات التصيّد.

وقالت Cofense:

“تزيد هذه الطريقة من جودة البيانات المسروقة، والتي يمكن بيعها أو استغلالها لاحقًا، كما تعقّد مهمة أنظمة الأمان الآلية التي تواجه صعوبة في تجاوز آلية التحقق”.

هجوم مزدوج باستغلال تنبيهات حذف ملفات

كما كشفت الشركة عن حملة تصيّد أخرى تعتمد على رسائل تنبيه بحذف ملفات كطُعم لسرقة بيانات الدخول ونشر برمجيات خبيثة.

تحتوي الرسائل على رابط يشير إلى ملف PDF على موقع التخزين الشرعي files.fm. وبمجرد النقر، يتم توجيه الضحية إلى الرابط الشرعي لتحميل الملف، ولكن عند فتح الملف، يُعرض عليه خياران:

  1. معاينة الملف ➜ تؤدي إلى صفحة تسجيل دخول مايكروسوفت مزيفة لسرقة بيانات الدخول.

  2. تحميل الملف ➜ يؤدي إلى تحميل برنامج ضار يُزعم أنه OneDrive، لكنه في الحقيقة برنامج ScreenConnect للتحكم عن بُعد من شركة ConnectWise.

وأوضحت Cofense:

“يبدو أن المهاجم صمّم الهجوم بعناية ليجبر الضحية على اختيار إحدى وسيلتي الخداع، وكلتا الطريقتين تؤديان إلى نفس النتيجة”.

هجمات متعددة المراحل:

وأخيرًا، تم الكشف عن هجوم متطور متعدد المراحل يستخدم تقنيات مثل التصيّد الصوتي (vishing)، وأدوات الوصول عن بُعد، وتقنيات “العيش خارج البرمجيات” (Living-off-the-land)، بهدف الوصول المبدئي إلى الأنظمة والمحافظة على التواجد داخلها.

وسوم
محمد طاهر
محمد طاهر
المقالات: 175

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة