في توجه مثير للقلق يكشف عن ذكاء جنائي متصاعد، رصد باحثو الأمن السيبراني موجة واسعة من حملات التصيد الاحتيالي تستغل واجهة وهوية منصة Calendly الشهيرة لجدولة المواعيد، مما يجعل الضحايا أمام تهديد يتلفح برداء ثقة وألفة رقمية. ولم تعد هذه الحملات مجرد صفحات مزيفة بسيطة، بل تحولت إلى منظومة هجومية متكاملة تجمع بين تقنيات تحليل السلوك والاستهداف الدقيق وسرقة بيانات الاعتماد في الوقت الفعلي.
ترسانة تقنية متنوعة خلف واجهة موحدة
كشف تحليل صادر عن منصة urlscan المتخصصة في تحليل المواقع والتهديدات عن بنية تحتية بالغة التعقيد خلف هذه الحملات. فخلف الواجهة المرئية الموحدة التي تحاكي تصميم Calendly، تجلس مجموعة متنوعة من أدوات التصيد تشمل أُطراً مدفوعة بواجهات برمجية، وتطبيقات Socket.IO تعمل في الوقت الفعلي، وسلاسل CAPTCHA مزيفة لإيهام الضحية بالأمان، فضلاً عن أدوات تسريب البيانات عبر تطبيق Telegram.
ويكشف هذا التنوع التقني أن الجهات الخبيثة وراء هذه الحملات لا تعمل بشكل فردي، بل تتوزع على مجموعات متعددة تتشارك الغطاء البصري الموحد لمنصة Calendly مع استخدام أدوات وبنى تحتية مختلفة، مما يجعل التتبع والإسناد الأمني أمراً بالغ الصعوبة. وقد أضفى استخدام CAPTCHA طبقة إضافية من المصداقية، إذ يُوهم المستخدم بأنه يتعامل مع موقع حقيقي يحرص على التحقق من هويته.
الاصطياد عبر فرص العمل وانتحال هويات الشركات الكبرى
تعتمد الحملات على أسلوب تصيد اجتماعي بالغ الدقة؛ إذ تبدأ بإغراء الضحايا بفرص عمل مزيفة من شركات معروفة، وتستخدم رسائل إلكترونية مُشخصنة بمساعدة الذكاء الاصطناعي تستقي تفاصيلها من مصادر مهنية علنية كلينكدإن. ولا تحتوي الرسالة الأولى على أي رابط ضار، بل تطرح فقط سؤالاً حول اهتمام المستلم بالفرصة الوظيفية. وعند الرد بالإيجاب، تصل رسالة ثانية تحتوي على رابط Calendly مزيف يقود إلى صفحة تحاكي تصميم المنصة الأصلية.
وقد رصد الباحثون صفحات تصيد تنتحل هويات شركات من بينها Lego وMastercard وUber وLVMH، إلى جانب متغير آخر يستهدف حسابات Facebook Business، معيداً توظيف أكثر من 30 رابط تصيد من حملة قديمة كانت نشطة لأكثر من عامين. وتكشف هذه الاستمرارية الزمنية أن هذه البنية التحتية تعمل بصبر استراتيجي وتُعاد هيكلتها بشكل دوري.
تقنيات متقدمة لتجاوز الحماية الثنائية والتحليل الأمني
تستخدم هذه الصفحات أدوات الاختراق بالوسيط لاعتراض بيانات الاعتماد وملفات تعريف الارتباط الخاصة بالجلسة، مما يُتيح الاستيلاء الكامل على الحسابات حتى في وجود المصادقة الثنائية. وتوظّف طبقات إضافية من التهرب تشمل نقاط تحقق CAPTCHA وقيوداً على الوصول المرتبط بالنطاق، بحيث لا يتمكن من رؤية المحتوى الخبيث إلا الضحايا المستهدفون تحديداً دون المحللين الأمنيين.
وفي أحدث المتغيرات، لجأ المهاجمون إلى تقنية “المتصفح داخل المتصفح” التي تعرض نوافذ مزيفة تحاكي نوافذ تسجيل دخول حقيقية مع عناوين URL تبدو مشروعة، في حين تظل تلك النوافذ خاضعة كلياً لسيطرة المهاجم.
وفي سياق أوسع، كشفت مايكروسوفت أن التصيد بالرموز QR ظهر بوصفه أسرع ناقلات الهجوم نمواً في الربع الأول من 2026، في حين تطور التصيد المحمي بـCAPTCHA بشكل متسارع عبر أنواع مختلفة من الحمولات الخبيثة، لتُسجّل المجموعة ما مجموعه 8.3 مليار تهديد تصيدي عبر البريد الإلكتروني خلال الفترة الممتدة بين يناير ومارس 2026.
الحسابات الإعلانية هي الجائزة الكبرى
يُركز المهاجمون بشكل خاص على فرق التسويق والإعلان وأي وكالات تدير حملات إعلانية نيابةً عن العلامات التجارية، إذ يُتيح الاستيلاء الناجح على حسابات Google Ads أو Facebook Business تنفيذ إعلانات مضللة أو ضارة، واستغلال سمعة العلامات التجارية الموثوقة لنشر المزيد من التصيد والبرامج الخبيثة على نطاق واسع. وهكذا لا تنتهي الجريمة بسرقة كلمة مرور، بل تتحول الحسابات المخترقة إلى منصة إطلاق لهجمات جديدة تطال ملايين المستخدمين.
