ملخص تنفيذي

مع اقتراب موسم التسوق في العطلات، يوم الجمعة الأسود يخلق كل من Cyber Monday بيئة يبحث فيها المستهلكون بنشاط عن خصومات كبيرة عبر المتاجر غير المألوفة عبر الإنترنت - مما يجعلهم أهدافًا رئيسية لعمليات المتاجر المزيفة واسعة النطاق. وفي أثناء هذا التحليل, مجموعتان يحتمل تنسيقهما من واجهات المتاجر ذات الطابع الخاص بالعطلات تم التعرف عليها من خلال استخدام الموارد المشبوهة و قوالب مواقع الويب المتكررة. ال المجموعة الأولى يتضمن ما يبدو أنه تركيز كبير للنطاقات المطبعية ذات الطابع الخاص بأمازون، على الرغم من أنها لا تتعلق حصريًا بأمازون، وتضم أكثر من 750 موقعًا مترابطًا استخدام لافتات العطلات الموحدة والرسائل العاجلة ومؤشرات الثقة المضللة. ال المجموعة الثانية يمتد على نظام إيكولوجي واسع لـ.shop ويتضمن نطاقات يبدو أنها تحاكي العلامات التجارية الاستهلاكية المعروفة - مثل آبل، إيه إم دي، ديل، سيسكو، لوجيتيك، توشيبا، راي بان، نيفيا للرجال، باولاز تشويس، رير بيوتي، إس كيه هاينيكس، 8BitDo، فيومي، تيم هورتنز، أتينا، أهافا، أوليمبوس، سنابل، فييو، غوتراكسس، ميتيون، ييل، شاومي، جو مالون، فوجي فيلم، أمازفيت، كوسكس، سامسونج، غارمين، شارك، إتش بي، سيجيت، و أومرون - استنادًا إلى أنماط التسمية وخصائص القالب المشتركة.

من خلال فحص أفضل 1,000 نطاق من هذه المجموعة الثانية، لوحظ وجود هيكل مشروط متسق ليوم الجمعة الأسود عبر العديد من المواقع، مما يشير إلى إعادة استخدام واسعة النطاق لنفس القالب المرتبط بالاحتيال. في حين أن العديد من هذه النطاقات قد تمت إزالتها بالفعل من قبل المسجلين وموفري الاستضافة، لا يزال الكثير منهم نشيطين، مما يؤكد الحجم والأتمتة والتوقيت الموسمي لحملات المتاجر المزيفة التي تركز على العطلات، والمخاطر المستمرة التي تشكلها على المتسوقين غير المرتابين خلال فترات البيع التي يزداد فيها عدد الزيارات.

من المحتمل أن يتم تنشيط مواقع الويب هذه خلال فترات العطلات لزيادة حركة مرور الضحايا وحجم المعاملات.

المجموعة أ

1. الاكتشاف الأولي عبر Dorking (استنادًا إلى عمليات الاحتيال السنوية السابقة في المتاجر المزيفة)
   → أدت الاستفسارات المستهدفة إلى واجهة متجر وهمية:
   أتوز تريجر [.] com

2. استخدام أصول عطلات HTML «Flipclock»
   بنية CSS مشتركة تتيح لافتات خاصة بالعطلات تعرض أيضًا المورد الذي تم استخدامه لتحديد أكثر من 750 نطاقًا آخر، أي cdn.cloud360 [.] أعلى :

خصائص القالب وتحليل الموقع

‍

‍

تُستخدم شارات الثقة المزيفة ورسائل الندرة («الشراء السريع» و «المخزون الضيق») والنوافذ المنبثقة المصطنعة التي تم شراؤها مؤخرًا للضغط على الضحايا لإتمام المعاملات الاحتيالية.

‍

تلتقط صفحات الدفع تفاصيل الفواتير والدفع الكاملة، مما يتيح السرقة المالية المباشرة من خلال عمليات المتاجر المزيفة يوم الجمعة الأسود الاحتيالية

استخدام مواقع شل

تستفيد مجموعات التصيد الاحتيالي من مواقع الويب التجارية الوهمية لمعالجة معاملات PayPal وبطاقات الدفع، مما يقلل من احتمالية اكتشاف الاحتيال بمجرد أن تشرع الضحية في الدفع. على سبيل المثال، في حالة amaboxreturns [.] com، تتم إعادة توجيه الدفع من خلال georgmat [.] com - وهو نطاق يظل بدون علامة على منصات السمعة الأمنية مثل VirusTotal - مما يمكّن المهاجم من إكمال المعاملات المالية الاحتيالية دون تشغيل ضوابط المخاطر على الفور.

‍

‍

‍

‍

‍

‍

‍

سجلات WHOIS لـ جورجمات [.] com أشر إلى الاستضافة من خلال مزود مقره في الصين (Alibaba Cloud Computing Ltd.) مع تفاصيل التسجيل التي تدرج قوانغدونغ كدولة إدارية. يؤدي عدم التوافق الجغرافي بين البنية التحتية وعلامات التجزئة الأمريكية المنتحلة إلى زيادة الشكوك ويدعم التقييم القائل بأنه يتم الاستفادة من النطاق كجزء من مخطط إعادة توجيه مدفوعات احتيالي تحت عنوان العطلات.

‍

قائمة ببعض مواقع شل التي تم جمعها

• www.thewonsel.com
• www.kinwony.com
• www.hwujo.com
• www.qinsony.com
• www.pasony.com
• www.loyoyi.com
• www.qiotong.com
• www.georgmat.com
• www.tisuny.com
• www.hiwoji.com
• www.sintayo.com
• www.howokin.com

المحور:

مرجع CDN مشبوه مشترك - cdn.cloud360 [.] top (استخدام CDN الذي يحتوي على نطاق واسع معروف بتوزيع البرامج الضارة - مصدر) - تم تحديده عبر المجموعة الأولى. عملت شبكة CDN هذه كمضيف موارد مشترك، حيث تخدم الأصول ذات الطابع الخاص بالعطلات، واللافتات القابلة للطي، والرموز، وملفات القوالب التي أعيد استخدامها عبر شبكة واجهات المتاجر الاحتيالية.

من خلال التركيز على مؤشر CDN الوحيد هذا، كشف التحقيق أكثر من 750 نطاق متجر يُحتمل أن يكون مزيفًا الاستفادة من نفس الأصول المستضافة ومكونات التخطيط، مع الإشارة إلى أنها لديك احتمال كبير الانتماء إلى مؤسسة تدار مركزيًا أو موزعة على نطاق واسع البنية التحتية لمجموعة أدوات التصيد الاحتيالي بناءً على المؤشرات المذكورة أعلاه.

ظهر مؤشر قوي آخر قائم على القالب من التكرار محتوى HTML/CSS الخاص بمؤقت العطلات على مدار الساعة، والتي تستبدل اللافتات ديناميكيًا بأحداث مثل الجمعة السوداء والاثنين الإلكتروني وعيد الميلاد وعيد الشكر. عند دمجها مع عمليات بحث FOFA عن مطابقة تجزئات أيقونات Amazon المفضلة، قدم هذا النمط طريقة إضافية للظهور نطاقات انتحال شخصية أمازون المحتملة.

يشير التداخل بين أصول flipclock ذات الطابع الخاص بالعطلات، وتجزئات الرموز المفضلة المجاورة لـ Amazon، وإعادة استخدام القوالب المتسقة عبر العديد من المجالات بقوة إلى مجموعة واسعة من من المحتمل أن تهدف المواقع المطبعية إلى محاكاة Amazon خلال فترات ذروة التسوق.

‍

استعلام فوفا: (body="فليب كلوك.بلاك فرايدي {اللون: #ff2ef5} .فليب كلوك.سايبر مونداي {اللون: #00afc8} .flipclock.christmas {اللون: #e42f2d}») && (icon_hash="226762681" || icon_hash="669141665")

الأخطاء المطبعية للعلامات التجارية من المجموعة الأولى التي تكشف عن احتمال انتحال شخصية النطاقات المزيفة

• www.amaboxhub [.] com
• www.amaboxmarket [.] com
• www.amaboxmarketplus [.] com
• www.amaboxmarkets [.] com
• www.amaboxpallet [.] com
• www.amabxestore [.] com
• www.amafastsale [.] com
• www.amaluckybox [.] com
• www.amaluckybx [.] com
• www.amanpalets [.] com
• www.amanwarehouse [.] com
• www.amapalettes [.] com
• www.amapalletmarket [.] com
• www.amapalletmarkets [.] com
• www.amapalletsales [.] com
• www.amapallets return [.] com
• www.amastorages [.] com
• www.amasuprisepallet [.] com
• www.amawarehousebox [.] com
• www.amawarehousesale [.] com
• www.amawarehousex [.] com
• www.amawhespaltes [.] com
• www.amaxboxsalex [.] com
• www.amazboxde [.] com
• www.amazgeheimnisbox [.] com
• www.amazhotsales [.] com
• www.amaznboxsaleus [.] com
• www.amaznbxstore [.] com
• www.amaznsalepallets [.] com
• www.amaznsbigsale [.] com
• www.amaznshop [.] com
• www.amaznscillation [.] com
• www.amazonpalletrush [.] com
• صندوق إرجاع www.amazonsbox [.] com
• www.amazpalette [.] com
• www.amazpalletsgift [.] com
• www.amazrpalts [.] com
• www.amazsaleboxus [.] com
• www.amazsalepalletus [.] com
• www.amazusboxes [.] com
• www.amazxpalts [.] com
• www.amzelectronicbox [.] com
• www.amzglobal paltets [.] com
• منصة تصفية www.amz [.] com
• www.amznbigsale [.] com
• www.amznboxsales [.] com
• www.amznpallet [.] com
• www.amznpalletmarket [.] com
• www.amzreturnsale [.] com
• www.amznsالتصفية [.] com
• www.amznmysterybox [.] com
• www.amzonboxshop [.] com
• www.amzonpaletten [.] com
• www.amzpaletten [.] com
• www.amzpalletliation [.] com
• www.amzreturenbox [.] com
• www.amzreturn [.] com
• www.amzreturnpallet [.] com
• أمازون هوم [.] com

‍

‍

لقطات تعرض هذه النطاقات من مجموعة التصيد الأولى التي تم وضع علامة عليها على أنها ضارة على VirusTotal مما يشير إلى أنها قد تكون جميعها جزءًا من نفس مجموعة التصيد الاحتيالي.

‍

تشير أداة أخرى أيضًا إلى أن المجالات من هذه المجموعة تنتمي أيضًا إلى مجموعات التصيد الاحتيالي الموجودة بالفعل على الإنترنت.

‍

المصدر: فاليدين.com 

المجموعة ب - [.] تسوق شبكة احتيال وهمية على واجهة المتجر

نقطة دخول

← جوجل دوركينج (استنادًا إلى عمليات الاحتيال السنوية السابقة في المتاجر المزيفة)

← تم تحديده عبر المجال: متجر لبيع المخبوزات في سانيسايد أب

لقطة من نطاق المتجر المزيف الأولي الذي يحتوي على لافتات براقة لخفض الأسعار للحث على الإلحاح ودفع الضحايا إلى شراء منتجات احتيالية وتكبد خسائر مالية

تحليل الموقع

تعمل تدفقات الدفع الاحتيالية على جمع الفواتير والمعلومات المالية الحساسة، مما يسهل المعاملات غير المصرح بها من خلال مواقع التجارة الإلكترونية المزيفة

‍

‍

يتم تضمين الفواتير والتفاصيل الشخصية في معايير URL لتبسيط التسجيل وجمع البيانات على خوادم المهاجم.

يتم التقاط معلومات بطاقة الائتمان والمعلومات المالية للمعاملات الاحتيالية وسرقة البيانات الجماعية، مما يؤدي إلى خسائر مالية فادحة للضحايا.

تستغل هذه المتاجر المزيفة مبيعات العطلات مثل الجمعة السوداء، وتجذب المستخدمين بخصومات هائلة وأسعار منخفضة بشكل غير واقعي لتحقيق أقصى قدر من الخداع والربح.

‍

‍

المحور:

باستخدام FOFA للبنية التحتية والتمحور القائم على المحتوى، كان حقل الجسم الخاص بـ el-dialog Black Friday المستخرج من النطاق المزيف الذي تم تحديده في البداية بمثابة أحد المؤشرات. أدى هذا المحور إلى إرجاع أكثر من 200,000 نطاق متجر [.] تم اكتشاف أن غالبيتها قد تسيء استخدام نفس بنية القالب وتصميم المتجر المزيف ذي الطابع الخاص بالعطلات، مما يسلط الضوء على إمكانية إعادة الاستخدام الصناعي على نطاق واسع لمجموعة أدوات التصيد عبر نطاق.shop TLD.

‍

استعلام FOFA: (body= «<el-dialog» و body= «الجمعة السوداء» و body= «محتوى الجمعة السوداء» و body= «left_image»)

‍

ملاحظة: تتضمن نتائج 200K+FOFA الموضحة أعلاه كلا من المجالات النشطة والتاريخية. يتم عرض هذه الإدخالات استنادًا إلى المؤشرات المشتركة - مثل هياكل HTML المتكررة وأنماط محتوى الجسم الشائعة وعناصر القوالب المتسقة - بدلاً من السلوك الضار المؤكد لكل مجال على حدة. على هذا النحو، تمثل النتائج متاجر وهمية محتملة أو واجهات متاجر احتيالية، تم تحديدها من خلال تشابهها مع قوالب الاحتيال المعروفة ذات الطابع الخاص بالعطلات.

هناك مؤشر محوري رئيسي آخر لتحديد نطاقات المتاجر المزيفة هذه وهو ملف JavaScript متكرر موجود عبر مواقع المتاجر الضارة [.]. على الرغم من أن اسم الملف يتم إنشاؤه عشوائيًا لكل نطاق، إلا أن محتوى النص الأساسي للنص يظل متطابقًا، ويحتوي على المنطق الأساسي لسلوك سلة التسوق وتدفق الشراء وعمليات السحب الاحتيالية.

توفر تجزئة SHA-256 لمحتوى نص JavaScript هذا توقيعًا موثوقًا للغاية للتمحور. من خلال تجزئة قالب JS هذا وربطه، يمكن الكشف عن مجموعات إضافية من نطاقات المتاجر [.]. يتيح هذا التمحور القائم على المحتوى تعداد العديد من مواقع المتاجر المزيفة التي تعيد استخدام نفس إطار الاحتيال الخاص بالعطلات على الرغم من اختلاف أسماء الملفات أو عناوين URL أو التغييرات السطحية.

‍

‍

هاش الجسم SHA256: 095a3ebc 77 f4e46b3 إضافة 543b61 d90b7d3f20b41532 c07772 ed3d 31908 d060 bb2

‍

قائمة ببعض النطاقات التي يُحتمل أن تكون مزيفة ومنتحلة للشخصية من المجموعة الثانية

• متجر شياوميديا [.] (زياومي)
• متجر جومالوني الآمن [.] (جو مالون)
• متجر فوجي فيلم سيف [.] (فيلم فوجي)
• متجر Amazfitsafe [.] (الأمازون)
• متجر كوزسوس [.] (تكلفة)
• متجر سامسونج الآمن [.] (سامسونج)
• متجر جارمينسيف [.] (غارمين)
• متجر شاركسيف [.]
• متجر Hoksafe [.]
• متجر سيجيت سيف [.] (سيجيت)
• متجر أومرونسيف [.] (أومرون)
• متجر aiwasafe [.]
• متجر أكيتاسيف [.]
• متجر Akkosafe [.]
• متجر ألينتورسيف [.]
• متجر جميع الأنواع الآمنة [.]
• متجر آمن لجميع التضاريس [.]
• متجر كينوود الآمن (كينوود)
• متجر الحب الآمن [.]
• متجر ألباكا على الإنترنت [.]
• متجر ألبينساتيلوس [.]
• متجر amazfitsafe [.]
• أساسيات أمازون على الإنترنت [.] متجر (الأمازون)
• متجر amdsafe [.]
• متجر أمريكان سيف [.]
• متجر آبل آيباد (تفاحة)
• متجر fiosafe
• متجر مبيعات سريع
• متجر سكينيكسسيف
• متجر Gotraxsafe
• متجر لوجيتك الآمن (لوجيتك)
• متجر الاجتماعات الآمن
• متجر AMD الآمن (و)
• متجر ديلا الآمن
• متجر فوجيتسو الآمن
• متجر سيسكو الآمن (سيسكو)
• متجر أيتنا الآمن
• متجر هافا الآمن
• متجر آمن بسعة 8 بت (8 بت دو)
• متجر رايبان الآمن (راي بان)
• متجر ديادور آمن
• متجر نيفيا أمانسيف (نيفيا)
• متجر أوليمبوس الآمن (أوليمبوس)
• اختيار بولا السريع. متجر
• متجر مستحضرات تجميل نادر
• متجر تيم هورتون الآمن
• متجر توشيبا السريع (توشيبا)
• متجر ويسترن ديجيتال سيف
• متجر ييل الآمن
• متجر فيوميسافي.شوب
• متجر آمن ممتاز [.]
• متجر أراسايف [.]
• متجر أكوافريش سيف [.]
• متجر أرميترونسيف [.]
• متجر arrissafe [.]
• متجر أروس سيف [.]
• متجر أسكوتسيف [.]
• متجر آسبكتسيف [.]
• متجر أستروياسيف [.]
• متجر أتاريسيف [.]
• متجر أتاسوس [.]
• متجر أتوميسيف [.]
• متجر autovosafe [.]
• متجر أفانتريسيف [.]
• متجر avedasafe [.]
• متجر أفنجرز سيف [.]
• متجر أواراسيف [.]
• متجر عائشة الآمن [.]
• متجر بيبيجوسيف [.]
• متجر بيبيليس آمن [.]
• متجر babymoovsafe [.]
• متجر badensafe [.]
• متجر badusafe [.]
• متجر بانكو سيف [.]
• متجر بالانسسيف [.]
• متجر الولائم [.]
• متجر الولائم [.]
• خزنة الحلاق [.] متجر
• متجر باركوسايف [.]
• متجر بارني سيف [.]
• متجر بارون سيف [.]
• متجر بوكساليدي [.]
• متجر bcwsafe [.]
• متجر بيلينكسيف [.]
• متجر بيلافيتاسيف [.]
• متجر بينادريلسيف [.]
• متجر بينفيسايف [.]
• متجر بيركشاير [.]
• متجر بيرنيسيف [.]
• متجر besteksafe [.]
• أفضل متجر آمن [.]
• أفضل طريقة آمنة [.] متجر
• متجر bett1safe [.]
• متجر باير دايناميك سيف [.]
• متجر bhcosmetics safe [.]
• متجر بيانيوسيف [.]
• متجر كبير آمن للألعاب [.]
• متجر bibsafe [.]
• متجر بيل بلاسسيف [.]
• متجر مبيعات البليارات [.]
• متجر billieusbst [.]
• متجر بيوناير [.]
• متجر بيزي سيف [.]
• متجر بلاكبيرن سيف [.]
• متجر بلاك باترفلاي آمن [.]
• متجر بلاك فلاج سيف [.]
• متجر بلاكستون الآمن [.]
• متجر مكافحة الستائر [.]
• متجر بلينكسيف [.]
• متجر بلوسوم سيف [.]
• متجر بلوبوكس [.]
• خزنة القمر الأزرق [.] متجر
• متجر أزرق برتقالي آمن [.]
• متجر بلوبيتاسيف [.]
• متجر بلوتاسيف [.]
• متجر بلوويف سيف [.]
• متجر بلانتسيف [.]
• متجر بوسايف [.]
• متجر بوديجاسيف [.]
• متجر بوديسافي [.]
• متجر بودي سيف [.]
• خزنة حارس شخصي [.] متجر
• متجر bonessafe [.]
• متجر bonidesafe [.]
• متجر بونسيف [.]
• متجر بونتيسيف [.]
• متجر بوروسيف [.]
• خزنة الملاكمة [.] متجر
• متجر برادلي سيف [.]
• متجر برافنسيف [.]
• متجر [.] كرسي الوقود
• متجر بريكوسيف [.]
• متجر بريدجستون الآمن [.]
• متجر brassafe [.]
• متجر براينسيف [.]
• متجر bnsafe [.]
• متجر btfbmsafe [.]
• متجر bublysafe [.]
• متجر bubssafe [.]
• متجر بوغليساليس [.]
• متجر بولوفاسايف [.]
• متجر boysafe [.]
• متجر بورستسيف [.]
• متجر Busybeesafe [.]
• متجر Busysafe [.]
• متجر Butterfingersafe [.]
• متجر besafe [.]
• من متجر بينيارسيف [.]
• متجر كاميكوسيف [.]
• احصل على متجر آمن [.]
• متجر careallsafe [.]
• متجر كارنيفال سيف [.]
• متجر كارتمانسيف [.]

‍

‍

البنية التحتية (الكتل الشبكية) لكلتا المجموعتين

البنية التحتية للاستضافة المشتركة التي تمت مشاهدتها عبر الحملات

‍

إحصائيات سجل WHOIS للمجموعة الأولى (بناءً على العدد الإجمالي للنطاقات)

إحصائيات سجل WHOIS للمجموعة الثانية (استنادًا إلى أول 1000 نطاق):

أهداف عامل التهديد (TTPs وطريقة العمل)

‍

وسيلة الانتشار (الطرق المحتملة)

لا تزال آليات التوزيع الدقيقة المستخدمة لتوجيه الضحايا نحو نطاقات المتاجر الاحتيالية هذه غير محددة. ومع ذلك، استنادًا إلى الأنماط الثابتة التي لوحظت في عمليات الاحتيال واسعة النطاق ذات الطابع الخاص بالعطلات، يمكن استنتاج العديد من قنوات الانتشار المحتملة بشكل معقول:

• منصات المراسلة (ناقل محتمل للغاية): قد يتم نشر هذه الحملات من خلال WhatsApp و Telegram وتطبيقات المراسلة المماثلة حيث يقوم المحتالون بتوزيع روابط قصيرة وحساسة للوقت مقترنة بروايات خصم قوية. تسمح هذه القنوات بالنشر السريع منخفض الوضوح مع الحد الأدنى من الإشراف على المنصة.

• مشاركة وسائل التواصل الاجتماعي الخاصة أو المغلقة: على الرغم من عدم وجود دليل مباشر يربط المجموعات بالإعلانات العامة السائدة، قد يستمر المهاجمون في الاستفادة من مجموعات Facebook المغلقة أو صفحات الشراء/البيع المجتمعية أو المنشورات غير الرسمية التي ينشئها المستخدمون والتي تحاكي العروض الترويجية المشروعة للعلامة التجارية، خاصة حول الجمعة السوداء ومبيعات العطلات.

• مكتبة الإعلانات الوصفية وإعلانات Instagram/Reels (ناقل الإعلان المحتمل): قد تحاول الجهات الفاعلة في مجال التهديد عرض إعلانات منخفضة التكلفة وقصيرة الأجل على منصات Meta (Facebook/Instagram)، مستغلة مكتبة Meta Ads لنشر عروض ترويجية وهمية على واجهة المتجر تحت ستار المبيعات السريعة أو خصومات العطلات الحصرية. غالبًا ما تتجنب مثل هذه الإعلانات الاكتشاف المبكر باستخدام النطاقات المسجلة حديثًا والصور العامة للمنتجات ونوافذ الاستهداف المحدودة.

• تحسين محركات البحث (إساءة استخدام SEO): هناك استراتيجية أخرى معقولة تتضمن التلاعب بتحسين محركات البحث. قد يتم تحسين واجهات المتاجر الاحتيالية لتظهر في نتائج البحث لأسماء منتجات محددة أو استعلامات تجارية أو كلمات رئيسية لصفقات العطلات ذات الحجم الكبير. خلال الجمعة السوداء أو فترات ذروة التسوق، من المرجح أن ينقر المستخدمون على روابط المتاجر غير المألوفة التي تبدو مشروعة في نتائج البحث.

• رسائل البريد الإلكتروني المخادعة أو حملات الرسائل القصيرة: قد تستخدم هذه العمليات أيضًا رسائل البريد الإلكتروني الاحتيالية أو الرسائل الترويجية عبر الرسائل القصيرة، وتقديم رسائل ذات طابع خاص مثل «مخزون الجمعة السوداء المحدود» أو «البيع بالتخليص العاجل» أو «الخصم الضخم للعطلات»، وبالتالي زيادة معدلات النقر على الضحايا من خلال الهندسة الاجتماعية القائمة على الاستعجال.

• سلاسل إعادة التوجيه والإعلانات على غرار الشركات التابعة: قد تقوم الجهات الفاعلة في مجال التهديد بتوجيه الضحايا من خلال صفحات إعادة التوجيه، أو مدونات الكوبونات المخترقة، أو مواضع الإعلانات المضللة، أو سلاسل الإعلانات الضارة، وتوجيه المستخدمين إلى نطاق المتجر المزيف النهائي مع إخفاء المصدر.

بشكل جماعي، تمثل هذه المتجهات المستنتجة الطرق الأكثر معقولية التي يتم من خلالها توجيه الضحايا إلى مواقع المتاجر الاحتيالية - لا سيما خلال فترات نشاط التسوق المتزايد مثل الجمعة السوداء والإثنين الإلكتروني ومبيعات عيد الميلاد، عندما تكون قابلية المستخدم للعروض «الجيدة جدًا لدرجة يصعب تصديقها» مرتفعة بشكل كبير.

‍

‍

الاستفادة من منصة CloudSek

من خلال تطبيق الكلمات الرئيسية والمؤشرات والأنماط القائمة على القوالب المحددة خلال هذا التحليل، تمكنت منصة CloudSek من عرض صفحات مزيفة إضافية ونطاقات مشبوهة يحتمل أن تكون مرتبطة بالمجموعتين اللتين تمت مناقشتهما أعلاه. وباستخدام الزحف المستمر على مستوى الإنترنت والكشف المستند إلى الكلمات الرئيسية، وضعت المنصة علامة على النطاقات التي يبدو أنها تنتحل شخصية علامات تجارية مشهورة أو تسيء استخدام أسماء تجارية أو تعيد استخدام نفس القوالب ذات الطابع الخاص بالعطلات. وقد مكّن ذلك من تحديد العديد من نطاقات الاحتيال المحتملة والمتاجر المزيفة التي تعرض سمات بنية تحتية مماثلة واستخدام الموارد وعناصر واجهة المستخدم، مما زاد من التحقق من اتساع وحجم النشاط المرصود.

التأثير

• الخسائر المالية للمستهلكين: يتعرض الضحايا للسرقة النقدية المباشرة من خلال معاملات البطاقات غير المصرح بها التي تبدأ بعد إدخال بيانات الدفع في واجهات المتاجر المزيفة ذات الطابع الخاص بالعطلات. غالبًا ما تظل هذه الخسائر غير قابلة للاسترداد بسبب الاستضافة الخارجية ونطاقات الاحتيال سريعة الاختفاء.

• التعرض للبيانات الشخصية والمالية الحساسة: تحصد المتاجر المزيفة الفواتير الكاملة وبطاقات الائتمان وتفاصيل الهوية - التي غالبًا ما يتم إرسالها عبر معايير GET غير الآمنة - مما يؤدي إلى مخاطر طويلة الأجل من الاحتيال في الهوية والاستيلاء على الحساب وإعادة بيع بيانات الضحايا في الأسواق السرية.

• تآكل الثقة في تجار التجزئة الشرعيين: تؤدي عمليات الاحتيال التي تنتحل شخصية العلامات التجارية الأمريكية الكبرى إلى الإضرار بثقة الجمهور، مما يتسبب في قيام المستهلكين عن طريق الخطأ بربط النشاط الاحتيالي بشركات شرعية وإغراق العلامات التجارية بطلبات استرداد الأموال ومطالبات النزاع.

• العبء التشغيلي على البنوك ومقدمي خدمات الدفع: تواجه المؤسسات المالية ارتفاعًا في عمليات رد المبالغ المدفوعة وتنبيهات الاحتيال والتحقيقات في النزاعات حيث يستغل المحتالون معلومات الدفع المسروقة، لا سيما خلال حجم المعاملات على مستوى الجمعة السوداء.

• التضخيم عبر تحسين محركات البحث وإساءة استخدام الإعلانات عبر الإنترنت: يستخدم المحتالون تحسين محركات البحث ومنصات الإعلانات المدفوعة المحتملة (بما في ذلك الإعلانات الوصفية) لزيادة الرؤية أثناء مبيعات العطلات، مما يجعل المتاجر الضارة تبدو مشروعة للمستخدمين غير المرتابين.

• استغلال منصات المراسلة لتوزيع الروابط: يؤدي الانتشار المحتمل لعناوين URL الخاصة بالمتاجر الضارة عبر WhatsApp و Telegram والقنوات الخاصة الأخرى إلى زيادة الوصول، مما يمكّن المحتالين من استهداف الضحايا بعروض خصم مخصصة أو جماعية للعطلات.

• النشر الآلي على نطاق واسع: مع مشاركة مئات الآلاف من النطاقات في قوالب ونصوص متطابقة، يقوم المحتالون بسرعة بنشر المتاجر المزيفة وإعادة تصميمها لكل موسم عطلة، مما يزيد من تأثير الضحايا من خلال التشغيل الآلي عالي الحجم.

الخلاصة والمؤشرات الرئيسية لحماية نفسك

حملات متاجر وهمية تحت عنوان العطلات أصبحت مصقولة للغاية وسريعة الحركة ومؤتمتة - تم تصميمه إلى استغل ذروة مبيعات الجمعة السوداء والإثنين الإلكتروني وعيد الميلاد. هذه المواقع في كثير من الأحيان تبدو مقنعة ولكن تعتمد على أنماط يمكن التنبؤ بها: تكتيكات الاستعجال (»الشراء السريع،»»مخزون ضيق»)، أختام «معتمدة» مزيفة، وأسماء النطاقات التي تحاكي العلامات التجارية الشهيرة باستخدام كلمات مثل خزنة، بسرعة، تخفيض السعر، أو أخطاء إملائية واضحة. يساعد فهم هذه العلامات حتى المتسوقين غير التقنيين في التعرف على الوقت الذي قد لا تكون فيه واجهة المتجر شرعية.

للبقاء محميًا، راقب مؤشرات محددة كثيرًا ما يتم ملاحظتها في متاجر العطلات المزيفة:

• لافتات حمراء براقة أو مشرقة مع رسائل عدوانية («وقت محدود!» ، «البيع السريع!» ، «اليوم فقط!») مصممة للحث على الاستعجال.
• أسماء العلامات التجارية جنبًا إلى جنب مع الكلمات الإضافية يحب خزنة، بسرعة، يتعاملون، تخفيض السعر، ـنا، متجر - على سبيل المثال، اسم العلامة التجارية - safe.shop.
• النطاقات التي تم إنشاؤها مؤخرًا (غالبًا ما يتم تسجيله في غضون أسابيع أو شهرين من يوم الجمعة الأسود أو أيام العطل الأخرى).
• لا توجد معلومات اتصال حقيقية/رسمية - فقط نموذج أو بريد إلكتروني شخصي عام (Gmail) أو بريد إلكتروني غير رسمي غير شرعي للشركة (مثل على سبيل المثال. service@samsunghugesale.shop)
• النوافذ المنبثقة التي تدعي «عملية شراء حديثة بواسطة John...» أو مبهرج توقيت العد التنازلي.
• مواقع الويب ذات التخطيطات المتطابقة عبر المتاجر ذات الأسماء المختلفة - علامة قوية على مجموعات الاحتيال النموذجية.

إذا لاحظت حتى واحد أو اثنين من بين هذه العلامات، من الأسلم تجنب الشراء والتحقق من الصفقة مباشرة على الموقع الرسمي للعلامة التجارية. من خلال البقاء متيقظًا لهذه المؤشرات الملموسة، يمكن للمتسوقين التنقل في موسم العطلات بأمان أكبر وتجنب الوقوع فريسة للموجة المتزايدة من عمليات الاحتيال في المتاجر المزيفة.

إضافة: تم تنشيط واجهات المتاجر المزيفة قبل عيد الشكر والجمعة السوداء ومبيعات العطلات القادمة

خلال المراحل الأولى من المراقبة، لم تعرض العديد من النطاقات من المجموعة الثانية التي من المحتمل أن تنتحل صفة العلامات التجارية الاستهلاكية الرئيسية استنادًا إلى أنماط التسمية والقوالب المتكررة والمؤشرات المشتركة سوى استجابة عنصر نائب تحتوي على النص «قريبًا.»

مع اقتراب فترة عيد الشكر والجمعة السوداء، انتقلت هذه النطاقات الآن إلى واجهات متاجر نشطة بالكامل، تعرض نفس التخطيطات ذات الطابع الخاص بالعطلات، ولافتات الطوارئ، والهياكل النموذجية التي تمت ملاحظتها سابقًا عبر المجموعة الأوسع.

استنادًا إلى اصطلاحات تسمية النطاقات وأوجه التشابه بين الرموز المفضلة وإعادة استخدام النماذج المتسقة، يبدو أن هذه المواقع تستهدف العملاء الذين يبحثون عن علامات تجارية مشهورة بما في ذلك شاومي، جو مالون، فوجي فيلم، أمازفيت، كوسركس، سامسونج، غارمين، شارك، إتش بي، سيجيت، أومرون، كينوود، و أساسيات أمازون. يتماشى تفعيلها مع أنماط التوقيت الموسمية النموذجية، مما يشير إلى محاولة جذب أعداد كبيرة من المتسوقين خلال ذروة حركة المرور في العطلات مع نفس مؤشرات المتاجر المزيفة الموضحة في هذا التقرير.

النطاقات النشطة حاليًا التي من المحتمل أن تنتحل هوية العلامات التجارية المذكورة أعلاه

• متجر شياومي ميديا
• متجر جومالون الآمن
• متجر فوجي فيلم الآمن
• متجر أمازون فيت سايف
• متجر cosrxus.shop
• متجر سامسونج الآمن
• متجر جارمينسيف
• متجر أسماك القرش الآمن
• متجر hpksafe.shop
• متجر سيجيت سايف
• متجر اومرون سيف
• متجر كينوود الآمن
• أساسيات أمازون على الإنترنت. متجر

تُظهر هذه المجالات نفس الخصائص الهيكلية والسلوكية مثل غيرها من المجالات الموثقة في المجموعة الثانية، ويجب على المتسوقين التعامل معها بحذر، خاصة بالنظر إلى تفعيلها مباشرة قبل أحداث التخفيضات الكبرى في العطلات.

‍