أخبار الإنترنتأخبار قطاع الأعمالالأمن الإلكترونيدراسات وتقارير

زيادة حملات التصيد الاحتيالي عبر استغلال مواقع الويب الرسمية

8 أغسطس 2019آخر تحديث: 8 أغسطس 2019
2 دقائق
زيادة حملات التصيد الاحتيالي عبر استغلال مواقع الويب الرسمية
زيادة حملات التصيد الاحتيالي عبر استغلال مواقع الويب الرسمية

وجد باحثون في كاسبرسكي نمواً في استخدام أساليب إرسال رسائل البريد الإلكتروني العشوائية غير المرغوب فيها ورسائل التصيد.

ويزداد استغلال مخربي الإنترنت للنماذج الإلكترونية الخاصة بالتسجيل والاشتراك والملحوظات، الموجودة على مواقع الويب، لإدراج محتوى الرسائل العشوائية أو روابط للتصيد في رسائل التأكيد الإلكترونية التي ترد المستخدمين من شركات شهيرة بعد ملء النماذج الإلكترونية على مواقعها.

ويواصل المخربون بحثهم عن طرق وأساليب جديدة لإيصال رسائل البريد العشوائي والتصيد إلى المستخدمين، مع الحرص على تجاوز الأدوات والضوابط الخاصة بتصفية المحتوى.

ويحاول هؤلاء جعل رسائلهم الإلكترونية التخريبية تأتي من مصدر مشروع يتمتع بسمعة طيبة حتى لا يتجاهلها المستخدمون.

لكن هذا الأمر يخلق في المقابل تحدياً كبيراً للشركات نظراً لأن هذا البريد العشوائي غير المرغوب فيه أو حتى المحتوى الخبيث الذي تشتمل عليه الروابط الواردة في رسائل التصيد، والذي يبدو أنه أرسل نيابة عنها، يمكن أن يلحق ضرراً كبيراً بثقة عملائها أو يؤدي إلى تسريب بياناتهم الشخصية.

ويتسم الأسلوب الذي يلجأ إليه المخربون بالسهولة والفعالية، وهو يقوم على اهتمام الشركات بتلقي الملحوظات والإفادات من عملائها لتحسين جودة الخدمة المقدمة للعملاء واستبقائهم فضلاً عن تعزيز سمعتها.

وتطلب الشركات من العملاء تسجيل حساب شخصي لديها أو الاشتراك في نشراتها الإخبارية أو التواصل معها عبر نماذج للإفادات موجودة على مواقعها الرسمية على الويب، لطرح الأسئلة أو ترك الاقتراحات والملحوظات، وهذه هي الآليات التي يستغلها المخربون.

وتتطلب الآليات الثلاث تقديم اسم العميل وعنوان بريده الإلكتروني، حتى يتمكن من تلقي رسالة تأكيد عبر البريد الإلكتروني.

ووفقًا للباحثين في كاسبرسكي، يضيف المحتالون محتوى الرسائل غير المرغوب فيها وروابط التصيد إلى هذا البريد، ويدخلون عنوان البريد الإلكتروني للضحية في نموذج التسجيل أو الاشتراك ليصل البريد إلى ضحيتهم بعد أن يدخلوا الرسالة بدلاً من الاسم.

وعندما ينتهون، فإن الموقع يرسل رسالة التأكيد التي أعدها المخربون بطريقة احتيالية إلى عنوان البريد الإلكتروني الذي أدخلوه للضحية، محتوياً على رابط إعلان أو تصيد في بداية النص بدلاً من اسم المستلم.

وقالت الباحثة الأمنية لدى كاسبرسكي، ماريا فيرغليز Maria Vergelis: إن معظم هذه الرسائل تعدل لجعلها مرتبطة بدراسات استقصائية تجرى عبر الإنترنت وتكون مصممة للحصول على بيانات شخصية مهمة من المستخدمين.

وأضافت “عادة ما تمر بسهولة الإشعارات الواردة من مصادر موثوق بها عبر أدوات تصفية المحتوى، لكونها رسائل رسمية صادرة عن شركات معروفة، وهذا هو السبب في أن هذه الطريقة الجديدة لتوزيع البريد الإلكتروني العشوائي غير المرغوب فيه أو المشتمل على محاولات للتصيد، فعالة وباعثة على القلق، حتى وإن بدا البريد في هيئة غير ضارة”.

وتنصح كاسبرسكي الشركات باتباع التدابير التالية لضمان الحفاظ على سمعتها:

  • التحقّق من كيفية عمل نماذج الإفادات على مواقع الويب التابعة لها.
  • تطبيق العديد من قواعد التحقق التي تستطيع إحداث خطأ في النموذج وتمنع إرساله عند محاولة تسجيل اسم برموز غير مناسبة.
  • إجراء تقييم للثغرات في موقع الويب، إن أمكن.
الوسوم
8 أغسطس 2019آخر تحديث: 8 أغسطس 2019
2 دقائق
زر الذهاب إلى الأعلى