كشف باحثون في الأمن السيبراني أن جهة تهديد تتحدث الروسية تقف وراء حملة تصيّد جماعية مستمرة، سجّلت منذ مطلع العام أكثر من 4,300 اسم نطاق لاستهداف روّاد قطاع الضيافة، وتحديدًا نزلاء الفنادق الذين يمتلكون حجوزات سفر قد يتلقّون رسائل بريد مزعج. ووفق الباحث أندرو برانت من شركة Netcraft، فقد بدأت الحملة فعليًا في فبراير 2025، واعتمدت أسماء نطاقات تتضمن أشهر منصّات الحجز؛ بينها 685 نطاقًا يحتوي على كلمة Booking، و18 لـ Expedia، و13 لـ Agoda، و12 لـ Airbnb، في محاولة لتقليد العلامات التجارية الأوسع استخدامًا.
صفحات تصيّد تتكيّف ديناميكيًا مع الضحية
أوضح برانت أن الحملة تعتمد على مجموعة تصيّد متطورة قادرة على تخصيص الصفحة المعروضة للزائر بناءً على سلسلة فريدة في مسار الرابط عند أول زيارة. وتستخدم هذه الصفحات شعارات علامات السفر الكبرى مثل Airbnb وBooking.com لزيادة الإيهام بالمصداقية. تبدأ الهجمة ببريد تصيّدي يطلب من المستلم تأكيد الحجز خلال 24 ساعة باستخدام بطاقة بنكية، ليتحوّل بعد سلسلة من عمليات إعادة التوجيه إلى موقع مزيف يتبع نمط تسمية موحّد يتضمن كلمات مثل confirmation وbooking وguestcheck وcardverify وreservation.
وتدعم الصفحات المزيفة 43 لغة، ما يتيح للمهاجمين استهداف جمهور دولي واسع. ويُطلب من الضحية دفع عربون الحجز عبر إدخال بيانات البطاقة. أمّا من يدخل الموقع مباشرة دون رمز AD_CODE الفريد فيُقابل بصفحة فارغة. وتضمنت المواقع أيضًا اختبار CAPTCHA مزيّف يحاكي واجهة Cloudflare لخداع الزائر. وبحسب Netcraft، يكتب الموقع رمز AD_CODE في «كوكي» لضمان المحافظة على نفس العلامة التجارية المقلّدة في الصفحات التالية، كما يؤدي تغيير هذا الرمز في الرابط إلى صفحة تستهدف فندقًا مختلفًا على المنصة ذاتها.
سرقة بيانات البطاقات عبر معاملات خلفية ودردشة دعم وهمية
بمجرد إدخال تفاصيل البطاقة وبيانات صلاحيتها ورمز CVV، يحاول الموقع المزيف معالجة معاملة في الخلفية، بينما تُعرض نافذة «دعم فني» توهم الضحية بخطوات للتحقق من «3D Secure» لمنع الحجوزات الوهمية. ولا تزال هوية الجهة المسؤولة عن الحملة غير معروفة، إلا أن ظهور اللغة الروسية في تعليقات الشيفرة ومخرجات التصحيح يشير إلى أصلها أو إلى محاولة استمالة زبائن محتملين لمجموعة التصيّد الراغبين في تخصيصها.
وجاء هذا الكشف بعد أيام من تحذير شركة Sekoia من حملة تصيّد واسعة تستهدف قطاع الضيافة عبر استدراج مديري الفنادق إلى صفحات بأسلوب ClickFix وسرقة بياناتهم باستخدام برمجيات خبيثة مثل PureRAT، ثم التواصل مع ضيوف الفنادق عبر واتساب أو البريد الإلكتروني لتأكيد الحجز عبر روابط خبيثة. وقد طابقت مؤشرات مشاركة من الشركة الفرنسية، مثل guestverifiy5313-booking[.]com/67122859، نمط النطاقات المسجلة من المهاجم نفسه، ما يعزز فرضية ارتباط الحملتين. وأكدت Netcraft لصحيفة The Hacker News وجود «تداخل كبير» بينهما.
ازدهار التصيّد كخدمة واستهداف واسع لعلامات عالمية
شهدت الأسابيع الأخيرة أيضًا حملات تصيّد واسعة انتحلت أسماء علامات كبرى مثل Microsoft وAdobe وWeTransfer وFedEx وDHL لسرقة بيانات الدخول عبر مرفقات HTML. وبحسب Cyble، تعرض هذه الملفات صفحة تسجيل دخول مزيفة بمجرد فتحها، بينما تتولى شيفرات JavaScript إرسال البيانات مباشرة إلى روبوتات Telegram يتحكم بها المهاجم. وقد استهدفت الحملة طيفًا واسعًا من المؤسسات في وسط وشرق أوروبا، خاصة في جمهورية التشيك وسلوفاكيا والمجر وألمانيا.
كما استُخدمت مجموعات تصيّد في حملة أخرى تستهدف عملاء شركة Aruba S.p.A الإيطالية، لتحصيل بيانات حساسة ومعلومات دفع عبر رسائل تزعم قرب انتهاء الخدمات أو فشل عمليات الدفع. ووفق مجموعة Group-IB، فإن مجموعة التصيّد المستخدمة «منصة آلية متعددة المراحل» توظّف فلاتر CAPTCHA للتهرب من الفحص الأمني، وتملأ بيانات الضحية مسبقًا لزيادة الإقناع، وتستخدم روبوتات Telegram لتهريب بيانات البطاقات، في نموذج يعكس «سرقة بيانات على نطاق صناعي».
هذه التطورات تبرز تنامي سوق «التصيّد كخدمة» في الاقتصاد الأسود، إذ بات بإمكان جهات تهديد قليلة الخبرة تنفيذ هجمات واسعة اعتمادًا على أدوات مؤتمتة جاهزة، ما يجعل التصيّد أسرع نشرًا، وأصعب كشفًا، وأسهل تكرارًا.
