يستغل القراصنة الإلكترونيون نماذج “اتصل بنا” في حملات التصيد الاحتيالي

لقد حددت شركة Check Point Research (CPR) حملة احتيال جديدة تُعرف بـ ZipLine التي تُعكس الاحتيال التقليدي عن طريق إجبار الضحية على بدء المحادثة.

تشرح CPR هنا أنه على عكس هجمات الاحتيال الإلكتروني العادية التي يبادر المتسللون فيها إلى الاتصال، تجذب هذه الحملة الجديدة الضحايا من خلال نماذج “اتصل بنا” في الشركات.

“في كل الحالات، كان الضحية هو من بدأ تبادل البريد الإلكتروني الذي أدى في النهاية إلى الإصابة”، كما قال CPR. من خلال هذه الطريقة، يصنع المهاجمون تفاعلات تبدو شرعية، مما يساعدهم على تجنب الكشف.

يشارك القراصنة في محادثات بريد إلكتروني تمتد لأسابيع في بعض الأحيان، متظاهرين بأنهم شركاء تجاريين، وحتى يطلبون من الشركات التوقيع على اتفاقيات عدم الإفصاح. في النهاية، يرسل المهاجمون ملف ZIP ضارًا عبر Heroku الذي يعمل كمنصة سحابية حقيقية. ولكن، داخل الملف، يتم تضمين ملف PDF أو Word مزيف، إلى جانب ملف اختصار مخفي يطلق بشكل خفي برنامجًا ضارًا.

تقوم تلك الشفرة بتثبيت MixShell، وهو باب خلفي قوي يسمح للمهاجمين بسرقة الملفات، تنفيذ الأوامر، وحتى العمل كوكيل داخل شبكة الضحية. وقد لاحظت CPR، “MixShell يدعم عمليات الملفات، الوكالة العكسية، تنفيذ الأوامر، والجلسات التفاعلية المستندة على الأنابيب.”

في الحالات الأخيرة، تقارير CPR أن المتسللين استخدموا موضوع “التحويل الذكاء الاصطناعي”، مدعين تشغيل “تقييم الأثر الذكاء الاصطناعي” لقيادة الشركة. يطلب البريد الإلكتروني من الموظفين ملء استبيان قصير، الأمر الذي تلاحظه CPR هو تكتيك آخر لبناء الثقة.

يستخدم المهاجمون أيضاً نطاقات مرتبطة بالشركات الأمريكية القديمة، والتي يبدو أن العديد منها تم التخلي عنها ولكنها لا تزال تبدو شرعية. تتراوح أهدافهم من الشركات الصغيرة إلى شركات فورتشن 500، خاصة في مجالات التصنيع والفضاء والإلكترونيات الاستهلاكية والطاقة.

ووفقاً لـ CPR، “تعكس هذه الحملة تطور تكتيكات الحملات المتقدمة للتصيد الاحتيالي.” يحذر الخبراء الأمنيون من أنه حتى النماذج الأساسية للمواقع الإلكترونية، إذا تركت دون فحص، يمكن أن تفتح الباب أمام هجمات إلكترونية ضارة للغاية.