الفئة: استخبارات الخصمالصناعة: متعددالتحفيز: الماليةالمنطقة: الشرق الأوسطمصدر*: A1

ملخص تنفيذي

تهديدتأثيرتخفيف

حملة BEC واسعة النطاق تستهدف الشركات التي تتخذ من الشرق الأوسط مقراً لها ومورديها.
تجذب رسائل البريد الإلكتروني الاحتيالية البائعين بحجة تسجيل البائعين، وتقديم العطاءات التعاقدية، وما إلى ذلك.
استخدم إعادة توجيه المجال إلى المجال الأصلي لإنشاء الثقة.

فقدان الإيرادات والسمعة.
انشر البرامج الضارة التي يمكن أن تعرض بيانات الشركة وبنيتها التحتية للخطر.
مرن في مواجهة عمليات الإزالة لأن الجهات الفاعلة في مجال التهديد تعيد تدوير صفحات الويب الثابتة لإعداد مواقع الويب بعد التعليق.

تحقق من طلبات الدفع باستخدام عمليات سير عمل داخلية آمنة.
تحقق من عناوين البريد الإلكتروني وعناوين URL للتهجئات المعدلة.
حملات توعية لتثقيف الموظفين.
المراقبة وعمليات الإزالة في الوقت الفعلي.
إسناد الجهات الفاعلة في مجال التهديد لمعالجة جذر المشكلة.

التحليل والإسناد

معلومات من البريد

كلاود سيككشفت منصة المخاطر الرقمية السياقية للذكاء الاصطناعي عن عملية احتيال مستمرة واسعة النطاق من BEC تستهدف بائعي المنظمات والأفراد المقيمين في الشرق الأوسط. في السابق، حدد باحثو CloudSek نطاقًا مشبوهًا كان يرسل رسائل بريد إلكتروني احتيالية إلى بائعي كيان عقاري ومنظمات حكومية مقرها الإمارات العربية المتحدة. الآن، اكتشفت CloudSek مجموعة من نطاقات التصيد الاحتيالي المسجلة باستخدام مخططات تسمية مماثلة لاستهداف المقاولين في الإمارات العربية المتحدة تحت ستار تسجيل البائعين، وتقديم العطاءات التعاقدية، وما إلى ذلك. تقوم الجهات الفاعلة في مجال التهديد وراء هذه الحملة بشراء/تسجيل النطاقات بشكل استراتيجي باستخدام كلمات رئيسية مشابهة لنطاقات الضحايا وتستهدف صناعات متعددة، مثل السفر والسياحة والنفط والغاز والعقارات والاستثمار في جميع أنحاء الشرق الأوسط. تم تمكين خادم بريد إلكتروني في بعض المجالات فقط بينما قام البعض الآخر بإعداد مواقع ويب لخداع المستخدمين للاعتقاد بأنهم أعمال مشروعة. تقوم بعض نطاقات الاحتيال بإعادة التوجيه إلى المجالات الشرعية لخداع الضحايا ليثقوا في رسائل البريد الإلكتروني المخادعة. تتميز الحملة بالمرونة في مواجهة عمليات الإزالة أو حظر الاستضافة لأنها تستخدم صفحات ويب ثابتة مخزنة مسبقًا مع قوالب مماثلة. يتم تحميلها من نطاق إلى آخر في حالة الحظر. على سبيل المثال: هناك نطاق مسجل حديثًا bids-snoc [.] com، ينتحل شخصية مؤسسة نفط الشارقة الوطنية (SNOC)، والذي من المرجح أن يُستخدم في الحملات المستقبلية عندما يتم تعليق النطاق المزيف الحالي. الشركاتالإيرادات المقدرةشركة بترول أبوظبي الوطنية (ADNOC) 59 مليار دولار مؤسسة نفط الشارقة الوطنية (SNOC) 84 مليون دولار شركة بترول الإمارات الوطنية (ENOC) 14 مليار دولار ومن بين 35 مجالاً للتصيد الاحتيالي تم تحليلها، تتم استضافة أكثر من 90% من النطاقات المتشابهة التي تستهدف ADNOC وSNOC وENOC في أمريكا الشمالية. يرجع هذا التفضيل إلى وجود العديد من مقدمي الخدمات بأسعار معقولة في تلك المنطقة للاختيار من بينها. علاوة على ذلك، يستغرق مقدمو الخدمة وقتًا لمعالجة طلبات الإزالة. تنتمي غالبية هذه المجالات إلى نطاقات TUCOWS، التي تتسم بالبطء في الاستجابة لطلبات تعليق النطاقات المستخدمة في الأنشطة غير القانونية. هذا على النقيض من مزودي خدمة أسماء النطاقات الآخرين، وكثير منهم لديهم استجابة من يوم إلى ثلاثة أيام للتقارير. تحظى عمليات الاحتيال الخاصة بـ BEC بشعبية بين المحتالين نظرًا لوجود عائد مرتفع على الاستثمار. على سبيل المثال، تتطلب البرامج الضارة بنية تحتية مخصصة. ومع ذلك، لا تحتاج عمليات الاحتيال الخاصة بـ BEC إلا إلى مجال به خادم بريد إلكتروني أو مجال به موقع ويب وخادم بريد إلكتروني.

المجال مع خادم البريد الإلكتروني فقط:

تُظهر سجلات DNS أن بعض نطاقات التصيد الاحتيالي تحتوي على سجلات MX متعددة تم إعدادها لإرسال رسائل البريد الإلكتروني.
تمكن الباحثون من الحصول على بعض رسائل البريد الإلكتروني المرسلة من قبل المحتالين من خلال OSINT (انظر الملحق). يبدو أن رسائل البريد الإلكتروني منسقة بشكل صحيح وصحيحة نحويًا. وبالتالي، يمكن الاستدلال على أن هذه ليست حملات للهواة. يبدو أن الفاعل في مجال التهديد هو المحاربين القدامى الذين استهدفوا المنطقة منذ بضع سنوات، حيث يعود تاريخ بعض المجالات إلى عام 2020.
هناك أيضًا مجموعة متنوعة من عمليات الاحتيال المستخدمة لجذب المستخدمين. بصرف النظر عن تسجيل البائعين وتقديم العطاءات التعاقدية، فإنهم يستخدمون أيضًا عروض عمل وهمية وفرص استثمارية لخداع الضحايا. (انظر الملحق).

[معرف التسمية التوضيحية = «المرفق _21710" align= «alignnone» width="614"] A scam email from one of the fake domains abdul-sattar-abdul-tr[.]com

بريد إلكتروني احتيالي من أحد النطاقات المزيفة abdul-sattar-abd-tr [.] com [/caption]

Zoho Mail هو موفر خدمة البريد الإلكتروني المفضل الذي تستخدمه الجهات الفاعلة في مجال التهديد وراء هذه الحملة. والسبب هو أن استخدام خدمة طرف ثالث يزيل متاعب إعداد خوادم البريد الإلكتروني. بدلاً من ذلك، يتم توفير البنية التحتية بأكملها من قبل طرف ثالث يتضمن خدمات مثل DMARC لمنع انتحال البريد الإلكتروني.
أحد الأسباب المحتملة لاستخدام Zoho من قبل الجهات الفاعلة في مجال التهديد هو أنه يوفر نسخة تجريبية مجانية لمدة 15 يومًا لخطة Mail Premium بدون بطاقة ائتمان. لذلك، إما أن يكون ممثل التهديد يستخدم هذا العرض أو لديه اشتراك مميز في الخدمة غير المكلفة.

[معرف التسمية التوضيحية = «المرفق _21711" align= «alignnone» width="928"] Threat actors operating with look-alike domains and mail servers

الجهات الفاعلة في مجال التهديد التي تعمل بنطاقات وخوادم بريد متشابهة [/caption]

النطاقات مع مواقع الويب وخوادم البريد الإلكتروني:

على عكس المجالات التي تحتوي على خوادم البريد الإلكتروني فقط، فإن الغرض من إعداد مواقع الويب هو إثبات الشرعية. تتنكر معظم هذه المجالات كشركات استثمار وفنادق ووكالات سفر. [معرف التسمية التوضيحية = «المرفق _21712" align= «alignnone» width="1690"] Threat actor with a default website and a Zoho Mail server

Threat actor with a default website and a Zoho Mail server

عامل التهديد مع موقع ويب افتراضي وخادم Zoho Mail [/caption]

المجالات مع إعادة توجيه المجال وخادم البريد الإلكتروني:

كان التكتيك الآخر الذي لاحظناه هو النطاقات المزيفة التي تعيد توجيه حركة المرور إلى النطاق الشرعي لتأسيس الثقة. على سبيل المثال، يقوم النطاق المزيف rfq-taziz [.] com بإعادة توجيه HTTP 301 (تم نقله) إلى النطاق taziz [.] com، وهي شركة كيماويات في الإمارات العربية المتحدة. [معرف التسمية التوضيحية = «المرفق _21713" align= «alignnone» width="943"] Threat actors set up domain forwarding and email server for operation

Threat actors set up domain forwarding and email server for operation

تقوم الجهات الفاعلة في مجال التهديد بإعداد إعادة توجيه المجال وخادم البريد الإلكتروني للتشغيل [/caption]

المرونة في مواجهة عمليات الإزالة والتعليق

[معرف التسمية التوضيحية = «المرفق _21714" align= «alignnone» width="971"] Threat actors clone websites using HTTrack for easy set up on look-alike domains

تستنسخ الجهات الفاعلة في مجال التهديد مواقع الويب باستخدام HTTrack لسهولة الإعداد على نطاقات متشابهة [/caption]

إنشاء تلقائي لصفحات ثابتة متعددة: تحتوي صفحات مواقع الويب المزيفة على محتوى تم إنشاؤه باستخدام بعض البرامج حيث يبدو أن المحتوى منسوخ من الويب. على سبيل المثال، تقوم duramtravels [.] com بنسخ من altdubai [.] com ولديها أيضًا مستندات مزيفة تتعلق بالشركة (انظر الملحق). علاوة على ذلك، تم استخدام موضوع مماثل عبر العديد من مواقع الويب المزيفة هذه.
إعادة تدوير الصفحات: يتم الاحتفاظ بنسخ احتياطية من مواقع الويب المزيفة مستنسخة عبر برنامج HTTrack (انظر الملحق) الذي كان توقيعه موجودًا في الكود المصدري. إذا قام أحد مزودي الاستضافة بإدراجها في القائمة السوداء، فإن الجهات الفاعلة في مجال التهديد تقوم ببساطة بنقل الصفحات إلى خدمة استضافة أخرى وسيتم تشغيل موقع الويب مرة أخرى! تم تمكين قائمة الدليل لبعض مواقع الويب المزيفة التي تعرض مجلدات الصور بأكملها التي يمكن نقلها (انظر الملحق).
أسماء النطاقات المشابهة: عندما يتم إدراج النطاق في القائمة السوداء، يحصل ممثل التهديد على نطاق آخر مشابه ويعيد تحميل الصفحات الثابتة هناك. على سبيل المثال، النطاق shh-hotel [.] com الذي كان نشطًا في وقت سابق هو الآن shh-hotels [.] com.

تنبؤ

يمكن القول بثقة أن ممثل التهديد سيستهدف SNOC مرة أخرى من نطاق جديد bids-snoc [.] com الذي تم إنشاؤه حديثًا في 17 أغسطس 2022 باستخدام البريد الإلكتروني hr.kashifgroup @gmail [.] com. لا يحتوي المجال على سجلات A حتى الآن ولكن سيتم استخدامه في الهجمات المستقبلية على SNOC بمجرد إعداد خوادم البريد الإلكتروني.
كما تم استخدام نفس البريد الإلكتروني لتسجيل نطاق جديد آخر guarantfinancial [.] com في نفس اليوم. يحتوي هذا النطاق على إعداد موقع تمويل مزيف. لذلك، من المحتمل أن يقوم ممثل التهديد بإرسال رسائل بريد إلكتروني تتعلق بفرص الاستثمار المزيفة باستخدام موقع الويب.

الخاتمة

نسبة التكلفة إلى الفائدة لـ BEC مرتفعة حيث لا توجد حاجة لبنية تحتية معقدة كما هو الحال في حملة البرامج الضارة. يكفي مجرد اسم نطاق مع خادم بريد إلكتروني وهذا أيضًا من طرف ثالث لإجراء هذه الهجمات. ثم يرسل ممثل التهديد رسائل بريد إلكتروني مزيفة إلى موظفي الشركات المستهدفة. غالبًا ما تحتوي رسائل البريد الإلكتروني هذه على مدفوعات معلقة وهمية وخيارات استثمار وعروض عمل وما إلى ذلك لدعم هذه العملية، يبدو أن هذه الجهات الفاعلة في مجال التهديد قد أنشأت شبكة كاملة من هذه النطاقات المزيفة المتعلقة بقطاع التمويل والسياحة والسفر. والتي تنشر مجموعة متنوعة من التقنيات مثل إعادة توجيه النطاق لتأسيس ثقة المستخدم وهي مرنة جدًا لعمليات الإزالة. يمكن أن تؤدي متابعة هؤلاء المهاجمين بشكل قانوني إلى الحد من عملياتهم. ومع ذلك، ستكون هذه مهمة صعبة بالنظر إلى بنية الإنترنت حيث قد يكون بعض موفري أسماء النطاقات في بلد آخر بينما تكون خوادم البريد في بلد آخر. وبالتالي، فإن أفضل حل هو اتخاذ تدابير وقائية لتجنب حدوثها في المقام الأول. مثل تدريب الموظفين على عمليات الاحتيال الخاصة بـ BEC وإنشاء آلية مصادقة وتحديد متعددة المستويات للمدفوعات.

المراجع

الملحق

النطاقات المسجلة مع hr.kashifgroup @gmail [.] com، chai.mkopelmd @gmail [.] com، كايوودثانوسارمي @gmail [.] com: نطاقات التصيد الاحتيالي التي تستهدف ADNOCالاتصال - الإعلان [.] com adnoc-vendor [.] com بد-ادنوك [.] com مناقصة ادنوك [.] com مناقصات - ادنوك [.] com عقود-ادنوك [.] com مقاولون - ادنوك [.] com التسجيل - ادنوك [.] com التسجيلات - adnoc [.] comنطاقات التصيد الاحتيالي التي تستهدف SNOCسنوبروجيكت [.] com snocprojectuae [.] com snocproject-ae [.] com مشروع سنوك [.] com مشروع سنوك [.] com عقد-سنوك [.] com مشروع إي-سنوك [.] com مشروع الإمارات العربية المتحدة - snoc [.] com إي-سنوكتندرز [.] com مناقصات الإمارات العربية المتحدة [.] comنطاقات التصيد الاحتيالي التي تستهدف ENOCبيد-إينوك [.] com بيدين-إينوك [.] com بيديرز-إينوك [.] com المسؤول - إينوك [.] com التسجيلات - enoc [.] com التسجيل-ae-enoc [.] com قائمة المقترحات [.] com قائمة المقترحات [.] com المقترحات - ae-enoc [.] com العطاءات - إينوك [.] com مستشار إينوك [.] com مستشار إينوك [.] com الاستشاريون-ae-enoc [.] com المقاول-إينوك [.] com بائع - إنوكبيد [.] com يتم استهداف العديد من الصناعات: النطاقات المسجلة باستخدام [email protected] استهداف صناعات متعددةإنفستيناديو [.] com راديو جوف [.] com الهجرة في سالاكوم [.] com الفجيرة - الإمارات العربية المتحدة [.] com مستشفى أمبروس العام [.] com gulfins-ae [.] com إيناكوبترول [.] com خدمات السفر الآمن [.] com مجموعة حمرايل النفطية [.] com شركة الحمودزين لخدمات حقول النفط [.] com rakpetrolae [.] com المدارس الثانوية [.] com جميع المستشفيات [.] com شركة داهلال كابيتال للاستثمار [.] com وكالة سفر دورام [.] com سنوكواي [.] com الاجتهاد في الاستشاريين [.] com محامو الإمارات العربية المتحدة [.] com إمسكليكويل [.] com zbavitae [.] com رامبولويل [.] com إنكوبيدز [.] com ستابلوك [.] com mohregov-ae [.] com وكالة هارفست للسفر [.] com خدمة بنك دبي الإسلامي المالية - الإمارات العربية المتحدة [.] com تندر راديو [.] com مناقصات - مدارس [.] com hpschooluae [.] com rfq-taziz [.] com مستشفى أهاليا [.] com شركة أبيانس إنفستمنتس - fze [.] com زيت الشيخ مراد [.] com قطر إنرجي [.] com كيليمون أويلغاس-دبي [.] com كام سكول الإمارات [.] com شركة الخليج لخدمات النفط البحرية [.] com كويك سيتي ترافيل [.] com جلوبال هوسبأ [.] com أخصائي الطب الغربي hospp [.] com شركة بيد-تاكا [.] com أدبنتوجو [.] com أتينايبس [.] com دبي فيري [.] com adnoc-vendor [.] com إيسترن باي ترافيلز [.] com شركة سيمنز للنفط والغاز [.] com رحلات طيران الإمارات fenczyfly [.] com نيبس [.] com بيلدز-إعمار [.] com specgulfae [.] com زيرفاينرجي [.] com إيجلز ترافل-ae [.] com أكاديمية ستالين سكول الدولية [.] com نيومكوبترول [.] com فلاي واي للسفر والسياحة [.] com ألزارافا ترافيل [.] com خليج كوستويلنغز-ae [.] com emspgenerahospae [.] com مواقع الويب المرتبطة بمعرف Google Analytics، الولايات المتحدة الأمريكية 6175655: نطاقات التصيد الأخرى التي تم تحديدها باستخدام نفس معرف Google Analytics: UA-6175655هجرة الذباب عبر المحيطات [.] com الهجرة الأيقونية [.] com الهجرة العربية [.] com عبد الستار عبد التير [.] com رحلات الفيحاء [.] com فلاي لينك للهجرة [.] com هورسبيد ترافيل [.] com تور سوليوشنز فور يو [.] com [معرف التسمية التوضيحية = «المرفق _21716" align= «alignnone» width="1136"] One of the fake websites was flagged as a scam website

One of the fake websites was flagged as a scam website

موقع ويب يستخدم رقم هاتف محمول تم وضع علامة عليه على أنه «مجندون وهميون» [/caption] [معرف التسمية التوضيحية = «المرفق _21717" align= «alignnone» width="708"] One of the fake websites’ phone numbers is blacklisted as a scam

One of the fake websites’ phone numbers is blacklisted as a scam

تم إدراج أحد أرقام هواتف مواقع الويب المزيفة في القائمة السوداء باعتباره عملية احتيال [/caption] [معرف التسمية التوضيحية = «المرفق _21718" align= «alignnone» width="414"] A scam email from one of the fake domain abienceinvestments-fze[.]com

A scam email from one of the fake domain abienceinvestments-fze[.]com

بريد إلكتروني احتيالي من أحد النطاقات المزيفة abienceinvestments-fze [.] com [/caption] [معرف التسمية التوضيحية = «المرفق _21719" align= «alignnone» width="1024"] Source Code of a malicious domain showing the use of HTTrack software

Source Code of a malicious domain showing the use of HTTrack software

كود المصدر لنطاق ضار يوضح استخدام برنامج HTTrack [/caption] [معرف التسمية التوضيحية = «المرفق _21720" align= «alignnone» width="703"] HTTrack software is used by the threat actor to keep clones of websites

HTTrack software is used by the threat actor to keep clones of websites

يتم استخدام برنامج HTTrack من قبل ممثل التهديد للاحتفاظ بنسخ من مواقع الويب [/caption] [معرف التسمية التوضيحية = «المرفق _21721" align= «alignnone» width="729"] Directory listing enabled for duramtravels[.]com that contains documents from Alt Dubai on the server

Directory listing enabled for duramtravels[.]com that contains documents from Alt Dubai on the server

تم تمكين قائمة الدليل لـ duramtravels [.] com التي تحتوي على مستندات من Alt Dubai على الخادم [/caption]

قم بجدولة عرض تجريبي لـ CloudSek

في CloudSek، نتوقع التهديدات الإلكترونية.

تحتوي حلولنا على حالات استخدام ذات صلة للعديد من الصناعات بما في ذلك BFSI. في CloudSek، نجمع بين قوة الذكاء السيبراني ومراقبة العلامة التجارية ومراقبة سطح الهجوم ومراقبة البنية التحتية وسلسلة التوريد لإعطاء الرؤية والسياق لمتجهات الهجوم الأولية لعملائنا. هل أنت مهتم بمعرفة المزيد؟ دع خبراء CloudSek يقدمون لك عرضًا تفصيليًا لإمكانيات منصتنا.