أطلق باحثون في مجال الأمن السيبراني تحذيرًا بشأن حملات تصيّد إلكتروني تستهدف المستخدمين عبر انتحال علامات تجارية شهيرة، لخداعهم ودفعهم للاتصال بأرقام هاتفية تدار من قبل مهاجمين.
وقال الباحث في وحدة Cisco Talos، أوميد ميرزائي، في تقرير نشره لـ “The Hacker News”:
“جزء كبير من التهديدات البريدية التي تحتوي على ملفات PDF يُقنع الضحايا بالاتصال بأرقام هاتفية يسيطر عليها المهاجمون، ضمن أسلوب خداع اجتماعي شائع يُعرف باسم (TOAD) أو (تصيّد الاستدعاء الهاتفي)”.
وكشفت تحليلات لحملات التصيّد التي استخدمت ملفات PDF بين 5 مايو و5 يونيو 2025 أن مايكروسوفت وDocuSign هما أكثر العلامات التجارية التي تم انتحالها. كما تضمنت القائمة علامات مثل NortonLifeLock وPayPal وGeek Squad، ضمن محاولات TOAD التي تستغل الثقة المعهودة في هذه العلامات لتنفيذ عمليات خبيثة.
وتحتوي هذه الرسائل غالبًا على ملفات PDF تضم شعارات علامات تجارية معروفة مثل Adobe ومايكروسوفت، وتدفع الضحية إلى مسح رموز QR خبيثة توجههم إلى صفحات تسجيل دخول مزيّفة، أو الضغط على روابط تعيد توجيههم إلى صفحات تصيّد متخفية كخدمات مثل Dropbox.
كما تبيّن أن بعض هذه الملفات تستخدم التعليقات أو الملاحظات داخل ملفات PDF لإخفاء الروابط، أو تربط رموز QR بصفحات حقيقية لإضفاء مصداقية زائفة على الرسائل.
التفاعل المباشر يتيح للمهاجمين التلاعب بمشاعر الضحية
في هجمات TOAD، يُخدع الضحية للاتصال برقم يُزعم أنه خاص بخدمة العملاء أو الدعم، حيث ينتحل المهاجم شخصية ممثل رسمي ويطلب من الضحية تزويده بمعلومات حساسة أو تثبيت برمجيات خبيثة على جهازه.
غالبًا ما تعتمد هذه الحملات على خلق شعور بالإلحاح، لكنها تكون أكثر فعالية عندما يقلّد المهاجمون بدقة إجراءات الدعم الحقيقي، مستخدمين نصوصًا معدّة مسبقًا، ونغمات انتظار، وحتى أرقام هاتفية منتحلة لإضفاء طابع رسمي زائف.
وقد استُخدم هذا الأسلوب مؤخرًا لنشر برامج تروجان مصرفية على أجهزة أندرويد، أو أدوات تحكم عن بُعد على حواسيب الضحايا، ما يمنح المهاجمين وصولًا مستمرًا. في مايو 2025، حذّرت مكتب التحقيقات الفيدرالي (FBI) من هجمات مماثلة نفذتها مجموعة Luna Moth، حيث تظاهرت بأنها من قسم تقنية المعلومات لاختراق شبكات الضحايا.
وأضاف ميرزائي:
“يعتمد المهاجمون على التواصل الصوتي المباشر لاستغلال ثقة الضحية بالمكالمات الهاتفية، وتقديمها كقناة تواصل آمنة. التفاعل المباشر يتيح للمهاجمين التلاعب بمشاعر الضحية وردود أفعاله باستخدام تقنيات الهندسة الاجتماعية”.
وأكدت Cisco Talos أن العديد من هذه الهجمات يستخدم أرقام VoIP لإخفاء الهوية، وبعضها يُستخدم لمدة تصل إلى أربعة أيام متتالية، ما يسمح بتنفيذ هجمات متعددة المراحل بنفس الرقم.
وأوضحت الشركة:
“انتحال العلامات التجارية هو من أكثر تقنيات الهندسة الاجتماعية شيوعًا، ويُستخدم باستمرار من قِبل المهاجمين ضمن تهديدات البريد الإلكتروني. لذا، فإن وجود محرك كشف لانتحال العلامات التجارية يُعد أمرًا محوريًا في الدفاع ضد هذه الهجمات”.
إرسال رسائل تصيّد داخليًا دون الحاجة لاختراق حسابات فعلية
وفي الأشهر الأخيرة، استغل المهاجمون ميزة Direct Send في Microsoft 365 لإرسال رسائل تصيّد داخليًا دون الحاجة لاختراق حسابات فعلية، ما منح الرسائل طابعًا شرعيًا يصعب اكتشافه، واستُهدف بها أكثر من 70 مؤسسة منذ مايو 2025، وفقًا لتقرير Varonis.
بعض هذه الرسائل كانت على شكل إشعارات بريد صوتي، مرفقة بملف PDF يحتوي على رمز QR يقود المستخدم إلى صفحة مزيفة لسرقة بيانات اعتماد Microsoft 365.
وأشار الباحث توم بارنيا إلى أن:
“استخدام Direct Send يجعل من حملات التصيّد أكثر بساطة وأقل تعقيدًا، ما يجعله أداة فعالة للمهاجمين”.
وفي تطور مقلق آخر، كشفت شركة Netcraft أن أنظمة الذكاء الاصطناعي، عند سؤالها عن روابط تسجيل الدخول لعلامات تجارية شهيرة، قد توجّه المستخدمين إلى نطاقات غير مملوكة لتلك العلامات — 30% منها كانت نطاقات غير مسجلة أو غير نشطة، ما يفتح الباب للاستيلاء عليها واستخدامها في التصيّد.
نشر واجهات برمجية خبيثة تربط معاملات Solana بمحافظهم
وفي مثال خطير، استخدم مهاجمون حسابات وهمية على GitHub لنشر واجهات برمجية خبيثة تربط معاملات Solana بمحافظهم، وروّجوا لها من خلال تدوينات، ومناقشات، ومستودعات برمجية مزيفة، لجعلها تدخل في بيانات تدريب نماذج الذكاء الاصطناعي.
كما رصد الباحث أندرو سيبورن سوقًا إلكترونيًا يُعرف باسم Hacklink، يتيح للمهاجمين شراء وصول إلى مواقع حكومية وتعليمية مخترقة، لإدراج رموز برمجية خبيثة تؤثر في نتائج محركات البحث، وتروّج لمواقع تصيّد على حساب مصداقية المواقع الأصلية.
