🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
لطالما كان التصيد الاحتيالي هو ناقل التهديد الأكثر شيوعًا بين مجرمي الإنترنت في جميع أنحاء العالم. يستخدم المهاجمون العديد من أدوات وتقنيات التصيد الاحتيالي للحصول على تفاصيل حساسة بما في ذلك بيانات معلومات التعريف المالية والشخصية (PII) لضحاياهم. يتم بعد ذلك إساءة استخدام هذه البيانات لتنفيذ عمليات الاستحواذ على الحسابات وسرقة الهوية والمعاملات الاحتيالية وما إلى ذلك.
في الآونة الأخيرة، اكتشف فريق البحث لدينا منشورًا مثيرًا للاهتمام، في منتدى الجرائم الإلكترونية باللغة الروسية، لممثل تهديد يعلن عن مجموعة أدوات للتصيد الاحتيالي. في أول مشاركة للممثل تتعلق بخدمة التصيد الاحتيالي، كانوا يبيعون حزم الاشتراك الشهرية فقط. ومع ذلك، من خلال مصدر موثوق، قمنا بجمع تفاصيل أخرى حول حملة التصيد هذه، بما في ذلك التكتيكات والتقنيات والإجراءات (TTPs) المستخدمة.
تحليل خدمات التصيد الاحتيالي لممثل التهديد
معلومات من هومينت
- يتراوح سعر مجموعة التصيد الاحتيالي من 15 دولارًا أمريكيًا إلى 2,000 دولار أمريكي، اعتمادًا على التخصيصات التي اختارها المشتري (المهاجم).
- توفر الخدمة خدمات التصيد الاحتيالي التي تخدع المؤسسات عبر مختلف القطاعات بما في ذلك التمويل والمصارف.
- يُزعم أن مجموعات التصيد الاحتيالي لديها القدرة على تجاوز إجراءات المصادقة المختلفة.
الميزات البارزة لخدمة التصيد الاحتيالي
- يمكن استخدام خدمات التصيد الاحتيالي التي يتم الإعلان عنها من قبل ممثل التهديد لسرقة بيانات الاعتماد وتجاوز المصادقة متعددة العوامل.
- تتضمن مجموعة أدوات التصيد أيضًا سجلات سيتم تسليمها للمهاجم من خلال خادم.
- تستخدم الخدمة مجموعة بروكسي عكسية تلتقط معلومات تسجيل دخول الضحايا، بما في ذلك بيانات الاعتماد وسجلات الجلسات التي يتم تحويلها إلى ملفات JSON على الخادم.
حول ممثل التهديد
- قام ممثل التهديد، الذي انضم مؤخرًا إلى منتدى الجرائم الإلكترونية، بنشر العديد من المنشورات التي توضح بالتفصيل الطرق المختلفة لتنظيم هجمات التصيد الاحتيالي.
- لاحظ فريق أبحاث استخبارات التهديدات في CloudSek منشورهم لأول مرة، في منتدى الجرائم الإلكترونية باللغة الروسية في نوفمبر 2021، للإعلان عن خدمات التصيد الاحتيالي التي تستهدف AT&T.
- أظهر الممثل خبرته في التصيد الاحتيالي وفعالية خدماته من خلال مشاركة البرامج التعليمية التفصيلية و POCs (إثبات المفهوم) حول كيفية تنفيذ هجمات التصيد الاحتيالي باستخدام مجموعاته. وقد عزز هذا مصداقية الممثل بين الأعضاء الآخرين في المنتدى.
- وتسلط مشاركات الجهات الفاعلة في مجال التهديد الضوء أيضًا على أنها تسعى باستمرار إلى طرق جديدة لتطوير ونشر خدمات التصيد الاحتيالي التي تستهدف وتخدع المنظمات الكبرى، مثل AT&T و Google، والكيانات الحكومية مثل NASA.
- قدم ممثل التهديد معلومات حول حسابات وسائل التواصل الاجتماعي الخاصة به بالإضافة إلى عناوين محافظ Monero و Bitcoin و Ethereum الخاصة به.
- يشير نشاط الممثل على وسائل التواصل الاجتماعي إلى أنه ماهر في العديد من الهجمات المستندة إلى الويب، بخلاف التصيد الاحتيالي.
- هناك نطاقان مملوكان للممثل، الموقع 1 (منصة لنشر معلومات جمع البيانات) و الموقع 2 (موقع ويب يعلن عن التصيد الاحتيالي كخدمة)، وكلاهما يحتوي على واجهات مستخدم ومحتوى متطابقين. (لمزيد من المعلومات، يرجى الرجوع إلى الملحق)
في هذه المقالة، سنستخدم مثال مجموعة أدوات التصيد الاحتيالي في Gmail الخاصة بممثل التهديد لفهم كيفية تنسيق حملات التصيد الاحتيالي القادرة على خداع ملايين المستخدمين.
تحليل مجموعة أدوات التصيد الاحتيالي في Gmail الخاصة بممثل التهديد
في إحدى مشاركاتهم الأخيرة، أعلن ممثل التهديد عن مجموعة التصيد اليدوي لـ Google Mail التي تسرق بيانات اعتماد المستخدمين وسجلات الجلسات.
صياغة رسائل بريد إلكتروني مقنعة للتصيد الاحتيالي
تعمل معظم حملات التصيد الاحتيالي لأنها قادرة على إقناع الضحية بشرعيتها. في هذه الحالة، يوفر ممثل التهديد القدرة على استغلال نطاقات معينة لإرسال رسائل بريد إلكتروني تبدو شرعية.
- في هذه الحالة، يستخدم الممثل طلبًا تم التلاعب به تم التقاطه من موقع الويب أوبن.gsa.gov/api/regulations.gov/.
- يمكّن هذا الطلب المهاجم من تغيير المعلمات من جانب العميل، والتي يمكن إعادة توجيهها إلى الضحية بعد إجراء التعديلات المطلوبة.
- يمكن عرض القيم الافتراضية من خلال فحص مصدر صفحة موقع الويب كما هو موضح في الصورة أدناه:
يمكن للممثل انتحال رسائل البريد الإلكتروني من المجالات المشهورة مثل:
- .nasa.gov
- .data.gov
- .senate.gov
وفقًا لتعليقات الممثل على منتدى الجرائم الإلكترونية، قد يبحثون عن منظمات حكومية وغير حكومية مختلفة لاستهدافها من أجل إرسال رسائل بريد إلكتروني عن طريق تغيير المحتوى من جانب العميل. يمكن أن تؤدي هذه الأساليب والخدمات إلى تضخيم هجمات التصيد الاحتيالي وبيانات الاعتماد المسروقة وعمليات الاستيلاء على حسابات الضحايا المستهدفين في المؤسسة.
كيف تستغل مجموعات التصيد الاحتيالي Gmail
بمجرد أن تنقر الضحية على الرابط في البريد الإلكتروني المخادع، تتم إعادة توجيهها إلى صفحة التصيد الاحتيالي في Gmail.
- تبدأ مجموعة أدوات التصيد الاحتيالي في Gmail بصفحة تسجيل الدخول وصفحة كلمة المرور التي تجمع البريد الإلكتروني للمستخدم أو رقم الهاتف وكلمة المرور.
- بعد ذلك، تعرض مجموعة التصيد الاحتيالي صفحة مخصصة تُعلم الضحية بحد المعدل، ومن هناك، يمكن للمهاجم تحديد توجيهات أخرى لمطالبة الضحية.
- استنادًا إلى عنوان IP الخاص بالضحية، تجلب الصفحة أيضًا رمز البلد الذي سيتم عرضه في خطوة المصادقة. الطريقة البديلة أو الزر التالي الموجود على الصفحة هي الحصول على البريد الإلكتروني المخصص للطوارئ للضحية. يتم إرسال كل هذه المعلومات كسجل إلى المهاجم.
تأتي مجموعة التصيد الاحتيالي في Gmail مع تخصيصات اختيارية مثل:
- إشعارات التنبيه والتحديث التلقائي كلما تم التقاط سجلات جديدة.
- إضافة صفحة حد السعر أو إزالتها.
- تمكين أو تعطيل أساليب حماية البوت، مثل captcha.
- خيارات لاختيار ما يجب أن تراه الضحية بعد صفحة كلمة المرور.
تتراوح أسعار المجموعة المذكورة أعلاه من 50 دولارًا أمريكيًا إلى 70 دولارًا أمريكيًا. وفقًا لممثل التهديد، يميل المهاجمون الذين يشترون هذه المجموعات إلى بيع السجلات التي تم جمعها من صفحات التصيد الاحتيالي إلى أعلى مزايد.
التأثير الواسع لحملات التصيد الاحتيالي في Gmail
نظرًا لأن Gmail يضم أكثر من 1.5 مليار مستخدم نشط، فإن مجموعة التصيد هذه، على وجه الخصوص، لديها القدرة على إحداث تأثير واسع النطاق للأسباب التالية:
- يميل المستخدمون إلى إعادة استخدام بيانات اعتماد البريد الإلكتروني الخاصة بهم عبر حسابات أخرى، بما في ذلك عمليات تسجيل الدخول المصرفية الخاصة بهم.
- من الممارسات الشائعة استخدام حسابات Gmail للتسجيل في مواقع التجارة الإلكترونية والخدمات الأخرى.
- نميل إلى تلقي تفاصيل سرية مثل كشوف الحسابات المصرفية والفواتير ودعوات الاجتماعات عبر البريد الإلكتروني، والتي يمكن الاستفادة منها لتنفيذ هجمات تستهدف الضحايا.
- يمكن للجهات الفاعلة في مجال التهديد انتحال شخصية حامل البريد الإلكتروني للاحتيال على جهات الاتصال الخاصة بهم.
- يمكن للجهات الفاعلة في مجال التهديد استخدام OTPs ورموز المصادقة المستلمة على حسابات Gmail لتجاوز المصادقة متعددة العوامل
الملحق
سجلات Whois الخاصة بـ الموقع 1:
تم تمييز هذا المجال بأنه ضار بواسطة برنامجين لمكافحة الفيروسات تحت علامة «التصيد الاحتيالي».
سجلات Whois الخاصة بـ الموقع 2
لا يمكن اكتشاف هذا النطاق حتى الآن ولا يحتوي على أي طرق أو مجموعات تصيد يمكن للمستخدمين تنزيلها.
