التصيد الاحتيالي

كشف الخداع السيبراني: ظهور صفحات التصيد الاحتيالي العامة التي تستهدف علامات تجارية متعددة

يكشف بحث CloudSek عن إطار عمل عام للتصيد الاحتيالي قادر على استهداف علامات تجارية متعددة من خلال الاستفادة من عناوين URL القابلة للتخصيص لانتحال شخصية صفحات تسجيل الدخول الشرعية. تتكيف صفحات التصيد هذه، التي تتم استضافتها على workers.dev في Cloudflare، ديناميكيًا باستخدام نطاقات البريد الإلكتروني المستهدفة لإنشاء خلفيات واقعية، وخداع المستخدمين لتسليم بيانات الاعتماد. يتم تهريب البيانات المسروقة إلى خادم بعيد عبر JavaScript غامضة. يجب على المؤسسات تعزيز الوعي من خلال التدريب ومحاكاة سيناريوهات التصيد الاحتيالي وإنشاء بروتوكولات إبلاغ واضحة للتخفيف من المخاطر والحماية من تهديدات التصيد المتطورة.

January 24, 2025

min

Table of Content

Example H2

ملخص تنفيذي

اكتشف فريق أبحاث التهديدات في CloudSek صفحة تصيد عامة يمكن ذلك انتحال شخصية أي علامة تجارية باستخدام صفحة تسجيل دخول عامة لسرقة بيانات الاعتماد. تتم استضافة صفحة التصيد باستخدام عمّال Cloudflare. dev، خدمة اسم نطاق مجانية.

تتم استضافة صفحة التصيد ذات المظهر العام على عنوان URL هذا: workers-playground-broken-king-d18b.supermissions.workers.dev، المصمم لسرقة بيانات الاعتماد من الضحايا غير المشتبه بهم.
يمكن أن تكون هجمات التصيد مخصصة لاستهداف منظمات محددة من خلال إضافة عنوان البريد الإلكتروني للموظف إلى نهاية عنوان URL العام لصفحة التصيد الاحتيالي، مفصولًا برمز #.
يأخذ موقع التصيد الاحتيالي لقطة شاشة للنطاق الموجود في عنوان البريد الإلكتروني للمستخدم المستهدف (مثل google.com) باستخدام thum.io (منشئ لقطة شاشة مجاني لموقع الويب) ويستخدمه كخلفية لموقع التصيد الاحتيالي لخداع المستخدمين المطمئنين.
بمجرد أن تقوم الضحية بإدخال بيانات الاعتماد لتسجيل الدخول، فإنها يتم تصفية بيانات الاعتماد إلى نقطة نهاية بعيدة - hxxps: //kagn [.] org/zebra/nmili-wabmall.php
صفحة التصيد الاحتيالي تم إخفاء DOM باستخدام جافا سكريبت (اسم الملف: myscr939830.js) لتجنب الاكتشاف من محركات الاحتيال.

‍

التحليل والإسناد

التحليل الفني لصفحة التصيد

1. تتم استضافة صفحة التصيد ذات المظهر العام على عنوان URL هذا: ملعب العمال - الملك المكسور - d18b.surmissions.workers.dev وهو مصمم لسرقة أوراق الاعتماد من الضحايا غير المرتابين.

‍

الشكل 1. *صفحة تصيد ذات مظهر عام لسرقة بيانات الاعتماد*

‍

2. من أجل تحويل صفحة تسجيل الدخول إلى بريد الويب ذات المظهر العام إلى انتحال شخصية علامة تجارية معينة، يمكن استخدام عنوان URL المصمم هذا: ملعب العمال - الملك المكسور - d18b.surmissions.workers.dev/#ahshs@google.com.

‍

الشكل 2. *في لقطة الشاشة، تحولت صفحة الويب العامة للتصيد الاحتيالي إلى صفحة تسجيل دخول مزيفة إلى google.*

‍

3. يمكن تخصيص هجمات التصيد الاحتيالي لاستهداف مؤسسات محددة عن طريق إضافة عنوان البريد الإلكتروني للموظف إلى نهاية عنوان URL العام لصفحة التصيد الاحتيالي، مفصولًا بـ # رمز.

4. يأخذ موقع التصيد الاحتيالي لقطة شاشة للنطاق الموجود في عنوان البريد الإلكتروني للمستخدم المستهدف (مثل google.com) باستخدام thum.io(مولد لقطة شاشة مجاني لموقع الويب) ويستخدمه كخلفية لموقع التصيد الاحتيالي لخداع المستخدمين المطمئنين.

‍

الشكل 3. أثناء الصياغة باستخدام عنوان URL مع بريد إلكتروني باسم علامة تجارية مستهدفة، يأخذ موقع التصيد الاحتيالي لقطة شاشة لموقع ويب شرعي ويجعله الخلفية

‍

5. بمجرد إدخال الضحية بيانات الاعتماد لتسجيل الدخول، يتم تسريب بيانات الاعتماد الخاصة بها إلى نقطة نهاية بعيدة - hxxps: //kagn [.] org/zebra/nmili-wabmall.php

‍

*الشكل 4. لقطة شاشة تُظهر التسلل من صفحة التصيد المنتحل إلى خادم بعيد يتحكم فيه المحتالون*

‍

6. تم تشويش DOM الخاص بصفحة التصيد الاحتيالي باستخدام JavaScript (اسم الملف:myscr939830.js) [Fig5] للتهرب من الكشف من محركات الاحتيال. ومع ذلك، لم تكن جافا سكريبت معقدة وكان من السهل إزالة الغموض عنها. بمجرد إزالة التشويش، يمكن التحقق من وظائف الصفحة من الكود المصدري.

‍

*الشكل 5: مصدر صفحة غامض لصفحة التصيد الاحتيالي للتهرب من الاكتشافات*

‍

7. يمنع مقتطف الشفرة المستخدمين من عرض مصدر الصفحة، والذي يمكن استخدامه لتحديد محاولات التصيد وحظرها - الشكل 6

‍

*يمكن إخفاء هجمات Fig6Phishing عن طريق حظر القدرة على عرض مصدر الصفحة.*

‍

8. فيما يلي الوظيفة الموجودة في شفرة المصدر التي تم إزالة الغموض عنها والتي توضح كيفية إنشاء صفحة التصيد بشكل ديناميكي باستخدام خدمات مجانية من thum.io ونقطة نهاية favicon fetcher من Google.

‍

*الشكل 7. خلفية تم إنشاؤها ديناميكيًا عن طريق إساءة استخدام الخدمات المجانية مثل google و thum.io*

‍

الإسناد

1. استنادًا إلى تشابه ملف Javascript المبهم، حددنا عناوين URL الأخرى للتصيد الاحتيالي التي تستخدم نفس التكتيكات ولكن يتم استضافتها باستخدام Cloudflare r2.dev: https://pub-3bb44684992b489e903bd3455d3b6513.r2[.]dev/WEBDATAJHNCHJF879476436743YREBHREBNFBJNFHJFEJERUI4894768467RYHGJGFHJGHJ.html

‍

2. خلال تحليل أعمق لملف جافا سكريبت نفسه (myscr939830.js)، تم اكتشاف أنه مستضاف على خدمة تخزين بلوكتشين مجانية، تخزين الويب 3.

3. قام ممثل التهديد بسرقة بيانات الاعتماد المسروقة إلى خادم بعيد، kagn [] .org. تم تسجيل هذا النطاق، الذي يسيطر عليه ممثل التهديد، منذ 6 سنوات ويتم استضافته على Wordpress. من المحتمل أن يكون ممثل التهديد قد استغل ثغرة أمنية وربما قام بإغلاق الخادم في /zebra/nmili-wabmall.php.

‍

‍

التوصيات

تثقيف الموظفين حول كيفية تحديد حملات التصيد الاحتيالي والإبلاغ عنها، مع التركيز على التكتيكات المستخدمة في هجمات التصيد الاحتيالي العامة.
قم بإطلاق حملة توعية D2C لتثقيف العملاء حول مخاطر هجمات التصيد الاحتيالي العامة وأهمية البقاء يقظين.
قم بتنفيذ برنامج محاكاة التصيد الاحتيالي لاختبار قدرة الموظفين بانتظام على التعرف على محاولات التصيد والاستجابة لها.
إنشاء عملية واضحة للإبلاغ عن هجمات التصيد الاحتيالي المشتبه بها، وضمان معرفة الموظفين بمن يجب الاتصال بهم وكيفية تقديم المعلومات ذات الصلة.

‍