كشفت knowbe4 عن حملة احتيالية كبيرة الحجم تعمل على تشغيل خدمات Google لإرسال رسائل e -mail المضللة التي تستهدف مستخدمي منصة Facebook ، ويهدف إلى سرقة بيانات الوصول ورموز التحقق الثنائية (2FA) وحتى الحصول على رموز لجلسات المستخدم.
وفقًا لتقرير صادر عن الشركة المتخصصة في Cyber Security ، يستخدم Pirates منصة Google AppSheet ، وهي أداة تطبيق بدون رموز للهواتف الذكية والهواتف الذكية ، وتعتمد الحملة على موقف “تطبيق سير العمل” في AppSheet ، والتي يمكن أن تسبب تقارير من juridische@appseet.com
مع هذه التقنية ، يمكن للرسائل الكتابة فوق أنظمة حماية مثل Microsoft 365 ومنافذ Mail Safe (SEGs) التي تعتمد على سمعة المجال (هو تقييم لدرجة الثقة في المجال – الموقع – الاسم – استنادًا إلى سجل أدائها) وأداء الشهادات مثل SPF و DKIM و DMARC.
لإبلاغ
تظهر الرسائل كما لو تم إرسالها من شركة “Mita” التي تحتوي على Facebook وتحتوي على تحذيرات خاطئة حول مزاعم انتهاك حقوق الملكية الفكرية ، حيث يحذر المستخدمون من أن فواتيرهم عرضة للإزالة في غضون 24 ساعة في حالة عدم تقديم المهنة عبر زر E -mail.
عند الضغط على الزر ، يتم تحويل المستخدم إلى صفحة مزيفة تحاكي بدقة صفحة تسجيل الدخول على Facebook ، لأنه من الضروري إدخال بياناته ، بما في ذلك رمز التحقق الثنائي.
يتم التعامل مع هذه المعلومات مباشرة عبر الموقع الاحتيالي الذي يعمل كوسيط لاستعادتها إلى خوادم Facebook ، بحيث يمكن للمهاجمين الحصول على “جلسة الجلسة” حتى يتمكنوا من إدخال الحساب حتى إذا تغيرت كلمة المرور لاحقًا.
معقد
أشار التقرير إلى أنه تم إرسال التقارير على نطاق واسع من البريد بالجملة وأن كل رسالة تحتوي على معرف Kodi Farid الذي صنعته AppSheet ، حتى يتمكنوا من التغلب على أنظمة الكشف التقليدية. وبهذه الطريقة ، يمكن للمهاجمين تجنب المرشحات التي تعتمد على الأنماط أو التكرار للتحقيق في الرسائل.
تتمثل إحدى الحيل التي لجأ إليها القراصنة في إرسال نتيجة “كلمة مرور خاطئة” بعد أول محاولة إدخال ، حتى لو كانت البيانات صحيحة ، لإقناع المستخدم بأنه ارتكب خطأ ، وبالتالي استعادة الإدخال ، مما يمنح المهاجمين درجة أعلى من اليقين بأن البيانات التي تم جمعها صحيحة.
نظمت الحملة صفحاتها الاحتيالية على منصة Vercel ، وهي خدمة استضافة معروفة بشكل جيد في مجتمع المطورين ، والتي منحت الحملة مزيدًا من المصداقية على عيون المستخدمين.
أوضح Knowbe4 أن استخدام الخدمات الموثوقة يعطي شرعية خاطئة للرسائل الاحتيالية ويزيد من فرص نجاح الهجوم.
وصلت الحملة إلى ذروتها في 20 أبريل 2025 ، لأن Knowbe4 ذكرت أنه تم إرسال 10.88 ٪ من جميع المباني الإلكترونية عبر AppSheet في ذلك اليوم ، تم توجيه حوالي 98.23 ٪ إلى مستخدمي Meta ، بينما كانت النسبة المتبقية تهدف إلى مستخدمي PayPal.
توصيات الوقاية
بينما أوصى الباحثون بمعرفة عدد الاحتياطات اللازمة لتقليل هذه التهديدات ، بما في ذلك التحقق من مصدر الرسالة التي يجب التحقق من عنوان البريد الإلكتروني للمرسل قبل اتخاذ إجراء ، وعدم النقر على الروابط المشبوهة ، لا يُنصح بالتواصل مع الروابط أو الأزرار في الرسائل غير المتوقعة.
كما يوصيون باستخدام حلول الحماية الذكية التي تعتمد على الذكاء الاصطناعي وتدريب الموظفين على اكتشاف محاولات بناء ، للإبلاغ عن الرسائل الاحتيالية. يجب على المستخدمين التواصل مع السلطات المختصة أو فرق الدعم الفني للإبلاغ عن رسائل مشبوهة.
