الكشف عن إساءة استخدام البريد الإلكتروني لشركة Qwiklabs في عمليات الاحتيال المتعلقة بالدفع التي تتضمن إعداد حسابات تجار UPI

ملخص تنفيذي

كشف فريق Threat Intelligence التابع لـ CloudSek عن ناقل هجوم جديد لإفساد سمعة العلامة التجارية للمؤسسات من خلال استكمال البنية التحتية الحالية للاحتيال.

لطالما كان ممثلو التهديد يبحثون عن الطرق التي يمكنهم استخدامها لجعل عمليات الاحتيال الخاصة بهم تبدو مشروعة. تاريخيًا، رأينا أنه حتى لو كان النطاق المزيف أو نطاق الاحتيال يبدو حقيقيًا جدًا، فإن الهدف النهائي لممثل التهديد هو تلقي الأموال من الضحايا. يكشف الفحص البسيط عمومًا ما إذا كانت الدفعة ستذهب بالفعل إلى المؤسسة المطلوبة أم لا.

في ناقل الهجوم هذا، فإن عدم التحقق من اسم المؤسسة أثناء تسجيل حساب تاجر باستخدام مزود الدفع يجعل من الصعب جدًا على الضحية التمييز بين معاملة VPA/التاجر الشرعي وغير الشرعي.

Qwiklabs عبارة عن منصة قائمة على السحابة تقدم تجارب تعليمية عملية للمطورين ومحترفي تكنولوجيا المعلومات. يوفر بيانات اعتماد مؤقتة إلى Google Cloud Platform (GCP) والأنظمة الأساسية السحابية الأخرى، مما يسمح للمستخدمين بممارسة مهاراتهم في بيئات العالم الحقيقي. على الرغم من أن الاستخدام المقصود لبيانات الاعتماد المؤقتة هو تعلم مهارات GCP، إلا أن الجهات الفاعلة في مجال التهديد تسيء استخدام ذلك لإضافة طبقة من الغموض باستخدام بيانات الاعتماد هذه لإنشاء حسابات تجارية.

‍

التحليل والإسناد

اكتشفنا ما يلي أثناء التحقيق في ناقل الهجوم هذا:

لقطة الشاشة الموجودة على اليمين هي موزع معتمد لشركة Apple في الهند وجميع التفاصيل يمكن التحقق منها، والتي تشمل رقم الهاتف المحمول ومعلومات البريد الإلكتروني بالإضافة إلى موقع الويب. حيث أن لقطة الشاشة الموجودة على اليسار عبارة عن حساب تاجر احتيالي للأسباب التالية:

1. يتم فتح زر موقع الويب https://accounts.google.com وهو أمر لا علاقة له بشركة Apple
2. عنوان البريد الإلكتروني لجهة الاتصال هو حساب مؤقت يتم توفيره أثناء التوقيع على qwiklabs

‍

لماذا كويكلابس؟

يتم استخدام Qwiklabs لأنه أثناء إنشاء حساب Gmail والاشتراك في pay.google.com لإعداد معاملات التاجر، يلزم التحقق من رقم الهاتف مما قد يؤدي إلى وقوع ممثل التهديد في مشكلة. أثناء التسجيل في qwiklabs، يلزم ما يلي -

1. بريد إلكتروني للشركة
2. الاسم الكامل
3. تاريخ الميلاد
4. كلمة المرور

‍

يرجى ملاحظة - يمكن استخدام مزود البريد الوارد المؤقت مثل temp-mail.org لملء البريد الإلكتروني للشركة.

‍

بمجرد أن يقوم المهاجم بتسجيل الدخول إلى البوابة، يمكنه اختيار مسار تعليمي يحتوي على معمل تعليمي عملي، لذلك يوفر qwiklabs وصولاً مؤقتًا إلى صندوق بريد gmail. يتم بعد ذلك استخدام صندوق بريد Gmail هذا لإعداد معرف UPI للتاجر دون استخدام رقم هاتف.

‍

تم إنشاء الحساب أعلاه دون الكشف عن أي معلومات شخصية.

‍

مزايا هذه الطريقة

1. إفشاء القليل من المعلومات أو عدم الكشف عنها طوال عملية التسجيل
2. إعداد حساب باسم نشاط تجاري مشابه جدًا للعلامة التجارية التي يستهدفها المهاجم كما هو موضح أعلاه.
3. يمكن أيضًا استخدام البنية التحتية لـ UPI لطلب معاملة من الضحية.
4. اعتبارًا من عام 2023، يمكن للتجار أيضًا طلب مدفوعات EMI من الضحايا، وبالتالي يحتاج المستخدم فقط إلى الوقوع في عملية الاحتيال مرة واحدة وسيتم تحديد تفويض الدفع.
5. يمكن للمهاجم إنشاء العديد من صناديق البريد المؤقتة باستخدام طريقة qwiklabs.
6. سيكون من الصعب جدًا على الضحية تحديد المعاملة التي بدأت عن طريق الاحتيال.
7. يمكن لممثل التهديد أيضًا إنشاء اسم مستعار لـ VPA (العنوان الافتراضي الخاص) للعلامة التجارية المستهدفة، حيث يسمح حساب مصرفي واحد الآن بأربعة أسماء مستعارة.

‍

الاحتياطات

يمكن للمستخدم اتخاذ الاحتياطات التالية ليكون في مأمن من هذا النوع من المخططات التفصيلية:

1. تحقق دائمًا من مبلغ المعاملة النهائي الذي يطلبه التاجر
2. تحقق من تفاصيل الاتصال بالتاجر الذي تقوم بتحويل الأموال إليه
3. تحقق دائمًا مما إذا كان التاجر قد طلب تعيين التفويض، فسيؤدي ذلك إلى استنزاف حساب الضحية شهريًا دون إدخال رقم التعريف الشخصي لـ UPI مرارًا وتكرارًا.
4. تحقق دائمًا مما إذا كان التاجر تاجرًا معتمدًا

‍

توصيات لمقدمي خدمات الدفع

1. تحقق أكثر صرامة من عناوين البريد الإلكتروني لـ qwiklabs المستخدمة للتسجيل.
2. لوائح أفضل حول كيفية المطالبة باسم تجاري للتاجر

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا

الملحق

‍

‍