آخر تحديث: السبت | التاريخ: 2021/01/16

كاسبرسكي ترصد عمليات إحتيال وتصيّد إحتيالي بحجة “تسليم الطرود”

كاسبرسكي ترصد عمليات إحتيال وتصيّد إحتيالي بحجة “تسليم الطرود”

لا يكاد يوجد مجال للنشاط الإنساني لم يتأثر بجائحة فيروس كورونا، وخدمات التسليم السريع ليست بمنأى عن ذلك. فقد تعطلت حركة الطيران بين البلدان وهناك نقص في طائرات الشحن مع مواصلة طلب الأفراد والشركات للبضائع من الداخل والخارج. كما أن الطلب على بعض السلع قد ارتفع بشكل كبير.

كان لتلك الطفرة في حجم الطلب أثر في زيادة مدد النقل. ونتيجة لذلك، أصبح من المعتاد أن يتلقى العملاء رسائل اعتذار من شركات الشحن تحتوي على ارتباطات لمعلومات محدثة بشأن حالات الشحنات. ولقد لاحظنا مؤخرًا وجود عدد من المواقع ورسائل البريد الإلكتروني الزائفة والتي يُفترض أنها تمثل خدمات توصيل، ولكنها تستغل موضوع فيروس كورونا. ويعمد المحتالون إلى استخدام حيل مجرّبة ثبتت فاعليتها وأخرى جديدة.

بريد عشوائي بمرفقات ضارة

قد ينتحل المحتالون صفة موظفي خدمة تسليم لإقناع الضحايا بفتح مرفقات رسالة إلكترونية ضارة. وتكون الخدعة التقليدية الادعاء بأنه حتى يمكن استلام طرد مرسل، لا بد للمستلم أولًا من قراءة المعلومات الواردة في الملف المرفق أو التأكيد عليها.

فيما تشير رسالة إشعار التسليم الإلكترونية الزائفة بلغة إنجليزية ركيكة إلى أنه لا يمكن تسليم الطرد بسبب الجائحة، لذلك يحتاج المستلم إلى المجيء واستلامه شخصيًا.

ويقال بالطبع إن عنوان المستودع وتفاصيل أخرى موجودة في المرفق، والذي -في حالة فتحه – يقوم بتثبيت باب خلفي لأداة Remcos على الكمبيوتر. يستطيع المجرمون الإلكترونيون بعد ذلك ضم الكمبيوتر إلى شبكة من الأجهزة المخترقة أو سرقة ما عليه من بيانات أو تثبيت برامج ضارة أخرى.

[الوصف التوضيحي: إشعار التسليم الزائف]

مجموعة أخرى ممن يكتبون رسائل إلكترونية بشأن عمليات تسليم زائفة استخدمت خدعة مماثلة، حيث زعموا أن الشركة لم تتمكن من التسليم لحدوث خطأ في عنونة الطرود. ويُطلب من الضحية تأكيد المعلومات الواردة في المرفق، والذي يحتوي في الواقع على فيروس آخر من عائلة Remcos.

[الوصف التوضيحي: يتظاهر هؤلاء النصابون بأنهم من شركة معينة للبريد السريع، لكن العنوان يفضحهم]

في بعض الأحيان، يقوم مرسلو البريد العشوائي بإدراج صور للمستندات في رسالة لإضافة بعض المصداقية. وفي المثال أدناه، أضاف المحتالون صورة صغيرة إلى نص البريد الإلكتروني. وقد بدت وكأنها لوصل، ولكنها كانت صغيرة للغاية بحيث تتعذر قراءتها، ولم يتغير حجمها عند النقر عليها، مما دفع المستلم إلى فتح المرفق الضار الذي يحتوي اسمه على اللاحقة “.jpg”.

إذا لم يعرض برنامج البريد الإلكتروني لدى المستلم الامتداد الحقيقي للملف، فقد يحسب المستلم خطأً أن المرفق هو الصورة. إنه في الواقع ملف ACE مضغوط قابل للتنفيذ يحتوي على برنامج التجسس Noon.

ولاستعجال الضحية، يزعم هؤلاء المجرمون أنهم بحاجة إلى المعلومات المفقودة على وجه السرعة لتسليم الطرد قبل الحظر.

[العنوان البديل/الوصف التوضيحي: رسالة إلكترونية لخدمة تسليم زائفة تحتوي على أرشيف بامتداد مزدوج]

أحد الموضوعات المستخدمة في الرسائل الإلكترونية الضارة هو حالات تأخير التسليم، ورغم أنه ليس بالموضع الحديث إلا أنه قد لاقى رواجًا خاصة في ظل الظروف الحالية. السيناريو يبدو معقولاً للغاية: يشير المحتالون على الضحية بفتح مرفق يحتوي على فيروس حصان طروادة Bsymem، والذي إذا تم تنفيذه يُمكّن المهاجمين من السيطرة على الجهاز وسرقة البيانات. ويتضمن الجزء السفلي من الرسالة عبارة تفيد بأنه قد تم فحصها بواسطة حل أمان للبريد وتم التأكد من عدم احتوائها على ملفات أو روابط ضارة، وهو ادعاء يهدف لطمأنة المستلم ومنحه إحساسًا زائفًا بالأمان.

[الوصف التوضيحي: إشعار زائف بشأن تأخير التسليم بسبب كوفيد 19]

يعمد العديد من مرسلي البريد العشوائي إلى مجرد دس كلمة كوفيد 19 في نماذجهم البريدية المعتادة، فيما يُركز آخرون على الحجر الصحي والانتشار السريع للجائحة.

على سبيل المثال، في إحدى القصص المختلقة، حظرت الحكومة استيراد أي نوع من السلع إلى البلد، ولذلك تم إرجاع الطرد إلى المرسل.

[الوصف التوضيحي: ادعى المحتالون منع الحكومة استيراد السلع إلى البلد]

المفترض هنا أن يحتوي المرفق على رقم تتبع الطرد وذلك لطلب إعادة الشحن بعد تخفيف القيود الصحية المتعلقة بالفيروس. ولكن فتح الملف يعرض المستلم لخطر تثبيت الباب الخلفي لفيروس Androm، مما يمنح المهاجمين إمكانية الوصول إلى الكمبيوتر عن بُعد.

التصيد الاحتيالي

استغل المحتالون المتخصصون في هجمات التصيد الاحتيالي بدورهم حالة الفوضى التي سادت عمليات تسليم الشحنات. فقد اكتشفنا نسخًا مقنعة للغاية من مواقع ويب مشروعة، بالإضافة إلى صفحات تتبع زائفة. وكانت جميعها تتعلل بذكر فيروس كورونا بالطبع.

فمثلاً، قام المتصيدون الذين يستهدفون حسابات عملاء خدمة التوصيل باستنساخ الصفحة الرئيسية الرسمية للشركة بأدق التفاصيل، شاملة آخر الأخبار المتعلقة بالجائحة.

[: موقع الويب الرسمي (يسار) ونسخة التصيد الاحتيالي المعدة لتبدو مثل الموقع (يمين)]

لا تقل التفاصيل المذكورة في هذه النسخة الزائفة عن تلك الموجودة في موقع الويب الأصلي لخدمة التوصيل، والذي يشير بدوره إلى آخر أخبار فيروس كورونا.

[  نسخة التصيد الاحتيالي المعدة لتبدو مثل موقع ويب خاص بخدمة التوصيل]

قام المسؤولون عن إنشاء هذا الموقع الزائف لتتبع الطرود بإضافة كوفيد 19 إلى السطر الخاص بحقوق النشر. وتضم الصفحة القليل من المعلومات الأخرى: فقط نموذج لإدخال بيانات الاعتماد وقائمة بخدمات البريد الإلكتروني المقدمة من “الشريك”. وغني عن القول أن إدخال بيانات الاعتماد في هذه الصفحة يؤدي لإرسالها إلى المحتالين، فيما يظل مصير الطرد المنتظر مجهولاً.

[الوصف التوضيحي: صفحة تتبع الطرود الزائفة]

كيف تتفادى الوقوع في الفخ

على خلفية الجائحة الحالية والعدد الكبير من حالات تأخير التسليم الحقيقية، فإن المواقع والرسائل الإلكترونية الزائفة لديها فرصة جيدة للنجاح – خاصة إذا كنت تتوقع وصول طرد بالفعل، أو، فلنفترض، أن بيانات الشحنة تم إرسالها إلى بريد عملك الإلكتروني وأنت تعتقد بأن زميلًا لك ربما يكون من أرسل في طلب السلعة. لتجنب الوقوع في الفخ:

· تأمل بعناية عنوان المرسل. إذا كانت الرسالة واردة من خدمة بريد إلكتروني مجانية أو تحتوي على مجموعة عشوائية من الأحرف في اسم صندوق البريد، فمن المرجح أنها زائفة. ولا تغفل عن إمكانية تزوير عنوان المرسل.

· انتبه إلى النص. لن ترسل شركة كبرى رسائل بريد إلكتروني تحتوي على نص مشوه التنسيق أو مليء بالأخطاء النحوية.

· لا تفتح مرفقات في رسائل إلكترونية واردة من خدمات التوصيل، خاصة إذا أصر المُرسل على ذلك. بل ادخل إلى حسابك الشخصي على موقع شركة الشحن، أو أدخل عنوان الخدمة يدويًا في متصفحك للتحقق من رقم التتبع. وقم بالمثل إذا تلقيت رسالة إلكترونية تحثك على النقر على رابط ما.

· توخ مزيدًا من الحذر إذا جاءت رسالة على ذكر فيروس كورونا. إذ يستغل المجرمون الإلكترونيون الموضوعات الرائجة لجذب الانتباه، لذلك لا تتسرع في الاستجابة لهذه الرسائل.

· قم بتثبيت  حل أمان موثوق مثل Kaspersky Secure Connection للكشف عن المرفقات الضارة وحظر مواقع التصيد الاحتيالي.

مقالات ذات صله