رصدت شركة Push Security حملة تصيّد إلكتروني واسعة النطاق تعتمد على دعوات مزيفة عبر منصة Calendly، حيث يتم التمويه بفرص عمل وهمية لاستدراج الضحايا وسرقة بيانات الدخول إلى حسابات Google Workspace وFacebook Business. هذه الرسائل الاحتيالية تزعم أنها صادرة عن علامات تجارية عالمية مثل Louis Vuitton وUnilever وLego وDisney، ما يمنحها مصداقية زائفة لدى المستلمين.
آلية الهجوم عبر صفحات مزيفة
الضحايا يتلقون في البداية رسالة بريد إلكتروني تتعلق بفرصة عمل، وبعد الرد عليها يتم إرسال رابط تصيّد على هيئة رابط Calendly لحجز موعد لمكالمة. عند النقر، يُحوّل المستخدم إلى صفحة مزيفة تشبه صفحة Calendly الأصلية، حيث يُطلب منه اجتياز اختبار CAPTCHA ثم تسجيل الدخول باستخدام حساب Google. هذه الخطوة تؤدي إلى سرقة بيانات الاعتماد عبر صفحة تصيّد من نوع Adversary-in-the-Middle (AitM). كما رُصدت نسخ أخرى من الحملة تستهدف بيانات الدخول إلى حسابات Facebook عبر صفحات مزيفة، إضافة إلى استخدام تقنية Browser-in-the-Browser (BitB) التي تعرض نوافذ منبثقة مزيفة تحمل عناوين URL شرعية لخداع المستخدمين.
استهداف حسابات الإعلانات الرقمية
التركيز على حسابات الأعمال المرتبطة بإدارة الإعلانات الرقمية يكشف عن نية المهاجمين استغلال هذه الحسابات في حملات Malvertising، بما في ذلك هجمات مثل ClickFix. هذه الاستراتيجية تمنحهم القدرة على نشر إعلانات خبيثة أو إعادة توجيه المستخدمين إلى مواقع ضارة، ما يضاعف من خطورة الاختراق.
خلفيات وتطورات سابقة
ليست هذه المرة الأولى التي يتم فيها استخدام إغراءات متعلقة بالوظائف لسرقة بيانات الدخول. ففي أكتوبر 2025، تم رصد رسائل تصيّد تنتحل هوية Google Careers بهدف الحصول على بيانات اعتماد المستخدمين. بالتوازي، لاحظت Push Security حملة إعلانات خبيثة (Malvertising) استهدفت الباحثين عن “Google Ads” عبر محرك البحث، حيث تم تقديم إعلان مدفوع مزيف مصمم لالتقاط بيانات الدخول.
