لا تُعد رسائل البريد الإلكتروني التي تقلد المراسلات التجارية ذات المرفقات الخبيثة أمرًا جديدًا. فنحن نلاحظ وجودها في حركة المرور غير المرغوب فيها منذ ثلاث سنوات على الأقل. وكلما كان التزييف أكثر دقة، زادت احتمالية عدم اشتباه الضحية في أي شيء.
ويُعد هذا النوع من التصيد الاحتيالي الإلكتروني خطيرًا بشكل خاص بالنسبة لموظفي الشركات التي تبيع السلع، لأن رسائل البريد الإلكتروني التي تحتوي على طلبات أو أوامر التسليم تُعد شائعة. وحتى الشخص المدرب على اكتشاف التزييف قد يعاني أحيانًا لتحديد ما إذا كانت الرسالة تُعد تصيدًا احتياليًا أم أمرًا مشروعًا من العميل. لذلك يشهد عدد رسائل البريد الإلكتروني المقنعة والمزيفة زيادة مستمرة. ونحن لا نصادفها كثيرًا بنفس معدل البريد العشوائي الضار التقليدي، ولكن السبب في ذلك هو تصميمها لغرض معين وإرسالها إلى العناوين المستهدفة.
وقد بدأ المحتالون في الأسابيع القليلة الماضية في استغلال تفشي فيروس كورونا لزيادة مصداقية رسائلهم. غالبًا ما تشير رسائل البريد الإلكتروني إلى مشاكل تسليم متعلقة بالفيروس، مما يدفع المستلم إلى التساؤل عن التسليم الذي يتحدثون عنه. وفي حالات أخرى، يستخدم المهاجمون الوباء للضغط على الحاجة إلى معالجة الطلب بشكل عاجل لأن شركاءهم المعتادين لا يمكنهم تسليم البضائع في الوقت المناسب. مهما كانت الحالة، فإن الهدف هو دفع الضحية إلى فتح مرفق ضار. كما يتم استخدام الحيل القياسية كذريعة، وعادةً ما تتضمن طلبًا للتحقق من تفاصيل الشحن أو بيانات الدفع أو الطلب أو توفر المنتج.
تأخر التسليم
يكتب المحتالون أن كوفيد 19 قد تسبب في تأجيل تسليم أحد الأغراض. يُرجى إرفاق معلومات التسليم المُحدَّثة، مع ذكر تعليمات جديدة. حيث يسألون على وجه الخصوص عما إذا كان وقت التسليم مناسبًا، ومن ثمَّ حث المستلم على فتح الملف المرفق، والذي يبدو للوهلة الأولى كفاتورة بتنسيق PDF.
طلب عاجل
يزعم المحتالون أنه بسبب تفشي فيروس كورونا، لا يستطيع موردوهم الصينيون الوفاء بالتزاماتهم. يبدو الأمر مقنعًا بما فيه الكفاية في ظل الظروف الحالية. ولتجنب إحباط عملائهم، يُفترض أنهم يبحثون عن تقديم طلب عاجل لبعض السلع (غير محددة في الرسالة) من الشركة التي يعمل فيها المستلم. أي شركة يمكنها أن تقاوم مثل هذه الفرصة المفاجئة؟
ويا لها من مفاجأة، حيث لا يحتوي الملف المرفق على مثل هذا الطلب، بل على Backdoor.MSIL.NanoBot.baxo. وعند تشغيله، فإنه ينفذ تعليمة برمجية ضارة داخل عملية RegAsm.exe المشروعة (مرة أخرى في محاولة للتحايل على آليات الدفاع). وينتج عن ذلك وصول المهاجمين إلى كمبيوتر الضحية عن بُعد.
طلب عاجل آخر
هذا أمر مختلف عن سابقه. مرة أخرى، يذكر المخادع أن المورد الصيني الوهمي يواجه مشكلات في التسليم، ويستفسر عن الأسعار وشروط التسليم للسلع المدرجة في ملف DOC المرفق.
يُستخدَم ملف DOC لسبب محدد. يتم في الداخل استغلال ثغرة CVE-2017-11882 في Microsoft Word (تكتشفها حلولنا على أنها Exploit.MSOffice.Generic). وعند فتحه، يقوم بتنزيل Backdoor.MSIL.Androm.gen وتشغيله. والهدف هنا، مثل جميع فيروسات الباب الخلفي، هو الوصول عن بُعد إلى النظام المصاب.
لا تضيع الوقت!
يستهدف هذا النمط الشركات التي تعاني من اضطرابات في سير العمل بسبب جائحة فيروس كورونا (مجموعة كبيرة ومتنامية). حيث يضغط المحتالون على المتلقي ليتخذ إجراءً، بينما يعربون عن أملهم في أن تتمكن الشركة من استئناف العمل بعد التعطل بسبب فيروس كورونا.
يحتوي المرفق، بدلاً من الطلب، على Trojan.Win32.Vebzenpak.ern. وعند تشغيله، يقوم بتنفيذ تعليمة برمجية ضارة داخل عملية RegAsm.exe المشروعة. والهدف هنا مرة أخرى هو تمكين المهاجمين من الوصول عن بُعد إلى الجهاز المُخترق.
كيفية الحماية من مرفقات البريد الإلكتروني الضارة
لمنع مجرمي الإنترنت من تمرير أحد فيروسات حصان طروادة أو الباب الخلفي في شكل مرفق، اتبع هذه النصائح:
- افحص امتدادات الملفات المرفقة بعناية. إذا كان المرفق ملفًا قابلاً للتنفيذ، فإن فرص عدم أمانه تقترب من 100%.
- تحقق مما إذا كانت الشركة المرسلة موجودة بالفعل. في هذه الأيام، حتى أصغر الشركات لديها وجود على الإنترنت (مثل حساباتها على وسائل التواصل الاجتماعي). إذا لم تجد شيئًا، فلا تفعل شيئًا؛ ففي كلتا الحالتين، ربما ليس من المجدي العمل مع هذه الشركة.
- تحقق مما إذا كانت التفاصيل الموجودة في خانة المرسل مطابقة للموجودة في التوقيع التلقائي. من الغريب أن المحتالين عادةً ما يغفلون عن هذه التفصيلة..
- تذكر أن المجرمين الإلكترونيين يمكنهم الحصول على معلومات حول “شركتهم” من المصادر المفتوحة. لذلك إذا كانت لديك شكوك على الرغم من أن البريد الإلكتروني يبدو أنه يحتوي على معلومات حسنة النية، فتواصل مع الشركة لتأكيد إرسالها للرسالة.
- الأهم من ذلك، تأكد من أن شركتك تستخدم حل أمان موثوقًا به Kaspersky Endpoint Security for Business في محطات العمل وعلى مستوى خادم البريد. وتأكد من تحديثه بانتظام Kaspersky Endpoint Security for Business واستخدامه لقواعد بيانات مُحدَّثة. وإلا فقد يكون من الصعب تحديد ما إذا كان مرفق البريد الإلكتروني ضارًا، خاصةً فيما يتعلق بمستندات Office.