حذر الباحثون الأمنيون من هجمات تصيد احتيالي تم رصدها في الآونة الأخيرة، تستهدف ما لا يقل عن 10000 من مستخدمي بريد مايكروسوفت الإلكتروني. إذ يقوم المهاجمون بإرسال بريد إلكتروني خبيث يتظاهر بأنه من شركات توصيل البريد الشهيرة FedEx أو DHL Express  .

ولكن في الحقيقة، تحاول هذه الحملات المخادعة سرقة بيانات حساب البريد الإلكتروني وبيانات الاعتماد المصرفية الخاصة بالمستخدم. لتحقيق هذا الهدف، يستخدم المهاجمون صفحات تصيد احتيالي تبدو واقعية، ومستضافة على نطاقات شرعية بالكامل مثل Quip  و Google Firebase.

يسمح النطاق الشرعي لرسائل البريد الإلكتروني الخبيثة بالانزلاق عبر عوامل وأنظمة الأمان، المصممة بهدف حظر وصول الروابط السيئة إلى المستخدمين.

هذا وأكد الباحثون أن عناوين البريد الإلكتروني التي تم استخدامها، بالإضافة إلى أسماء المرسلين والمحتوى الدقيق، كانت كفيلة بإخفاء النوايا الحقيقية وخداع المتلقي عبر جعل الضحايا يعتقدون أن رسائل البريد الإلكتروني كانت قادمة بالفعل من FedEx أو DHL Express  على التوالي.

فرسائل البريد الإلكتروني التي تبلغ عن مستندات FedEx الممسوحة ضوئياً أو عن عمليات تسليم DHL المفقودة ليست خارجة عن المألوف إطلاقاً، ولذلك يميل معظم المستخدمين إلى اتخاذ إجراءات سريعة بشأن هذه الرسائل بدلاً من دراستها والتدقيق فيها بحثاً عن أي تناقضات محتملة.

 

رسائل FedEx تستهدف بريد مايكروسوفت الإلكتروني

عنوان البريد الإلكتروني المخادع الذي ينتحل صفة شركة FedEx الأمريكية لخدمات التوصيل متعددة الجنسيات يذكر: “لقد تم إرسال FedEx  جديد إليك”، مع تحديد تاريخ إرسال البريد الإلكتروني.

يحتوي هذا البريد الخبيث على بعض المعلومات المتعلقة بالمستند لجعله يبدو شرعياً، مثل رقم ID وعدد الصفحات ونوع المستند، بالإضافة إلى رابط يسمح بقراءة المستند المفترض. وعندما ينقر المستلمون على هذا الرابط، سيتم نقلهم إلى ملف مستضاف على Quip.

لمن لا يعلم، خدمة Quip التي تأتي في إصدار مجاني، هي أداة تقدم المستندات وجداول البيانات وملفات العرض وخدمات الدردشة. هي خدمة مشروعة مثل مواقع غوغل و Box وغيرها. وتحتوي معظم هذه الخدمات على إصدارات مجانية وسهلة الاستخدام، مما يجعلها مفيدة لملايين الأشخاص حول العالم. ولكن لسوء الحظ، فهي تسمح أيضا لمجرمي الإنترنت بشن هجمات تصيد احتيالي ناجحة بشكل سهل جداً.

على كل الأحوال، الملف المستضاف على Quip يحتوي صفحة تبدو شرعية مع وجود شعار FedEx وبعنوان “لقد تلقيت بعض الملفات الواردة عبرFedEx “. وتتضمن أيضاً رابطاً يعد الضحايا بمراجعة الوثيقة المفترضة عند الضغط عليه.

بمجرد أن ينقر الضحايا على هذه الصفحة، سيتم أخيراً نقلهم إلى صفحة تصيد احتيالية تشبه بوابة تسجيل الدخول إلى بريد مايكروسوفت Microsoft ، والتي يتم استضافتها على Google Firebase ، وهو نظام أساسي تم تطويره بواسطة غوغل لإنشاء تطبيقات للجوال والويب.

تجدر الإشارة إلى أنه تم استخدام Google Firebase بشكل متزايد خلال العام الماضي لشن هجمات التصيد الاحتيالي، وذلك بهدف تجنب الاكتشاف كونه يعمل ضمن نطاق شرعي.

وبالتالي، عندما تقوم الضحية بإدخال بيانات اعتمادها على الصفحة وتضغط زر الولوج، ستعيد الصفحة تحميل بوابة تسجيل الدخول مع ذكر رسالة خطأ تطلب من الضحية إدخال التفاصيل الصحيحة. وبهذه الطريقة، يتطلع المهاجمون إلى جمع أكبر عدد ممكن من عناوين البريد الإلكتروني وكلمات المرور اتي يستعملها المستخدم، وستستمر رسالة الخطأ في الظهور بغض النظر عن التفاصيل التي يتم إدخالها.