علامات التصيد الاحتيالي
شهدنا منذ فترة ليست بالقصيرة محاولات لاستخدام حيل التصيّد الاحتيالي الموجّه على نطاق واسع. وتقتصر هذه الجهود عادةً على تصميم رسائل بريد إلكتروني أفضل قليلاً من المعتاد تحاكي شركة معينة، وتزيف هوية مرسل من شركة عبر انتحال الهوية الخفي، وتخصيص الرسالة الذي يعني، في أفضل الأحوال، مخاطبة الضحية باسمه. ومع ذلك، في مارس من هذا العام، بدأنا نلاحظ حملة مثيرة للاهتمام بشكل خاص، لم يقتصر فيها التخصيص على نص البريد الإلكتروني فحسب، بل امتد ليشمل المستند المرفق أيضًا. وكان المخطط نفسه غير معتاد بعض الشيء: حاول خداع الضحايا لإدخال بيانات الاعتماد الخاصة ببريدهم الإلكتروني الخاص بالعمل تحت ذريعة حدوث تغييرات في سياسة الموارد البشرية.
طلب مزيف لمراجعة إرشادات الموارد البشرية الجديدة
إليك طريقة عمله. يتلقى الضحية رسالة بريد إلكتروني، تبدو وكأنها من قسم الموارد البشرية، تخاطبه بالاسم. وتخبره رسالة البريد الإلكتروني عن تغييرات في سياسة الموارد البشرية بخصوص بروتوكولات العمل عن بُعد والمزايا المتاحة ومعايير الأمان. وبطبيعة الحال، سيكون أي موظف مهتمًا بهذا النوع من التغييرات، لذا يتجه مؤشره بشكل طبيعي نحو المستند المرفق، الذي يحمل، بالمناسبة، اسم المستلم في عنوانه أيضًا. والأكثر من ذلك، تحتوي رسالة البريد الإلكتروني على لافتة مقنعة تشير إلى أن المرسل موثوق به وأن الرسالة جاءت من قائمة المرسلين الآمنين. وكما تظهر التجربة، فإن هذا بالتحديد نوع البريد الإلكتروني الذي يستحق تدقيقًا إضافيًا.
رسالة بريد إلكتروني للتصيد الاحتيالي مصممة لجذب الضحايا بتحديثات زائفة لسياسة الموارد البشرية
أولًا، لاحظ أن محتوى البريد الإلكتروني بأكمله، بما فيه الشعار الأخضر الذي يبعث على الطمأنينة والتحية المخصص، ليس سوى صورة. ويمكنك التحقق من ذلك بسهولة عن طريق محاولة تحديد أي جزء من النص بالماوس. ولن يُرسل مرسل شرعي رسالة بريد إلكتروني بهذه الطريقة أبدًا؛ لأنها طريقة غير عملية ببساطة. تخيل قسم موارد بشرية يُضطر إلى حفظ وإرسال صور فردية إلى كل موظف لإعلان واسع الانتشار كهذا. والسبب الوحيد لتضمين النص كصورة هو تجاوز مرشحات مكافحة البريد العشوائي أو التصيد الاحتيالي.
توجد أدلة أخرى أكثر دقة في رسالة البريد الإلكتروني قد تفضح المهاجمين. على سبيل المثال، لا يتطابق اسم المستند المرفق وحتى تنسيقه مع المذكور في نص رسالة البريد الإلكتروني. لكن بالمقارنة مع البريد الإلكتروني “المصمم كصورة”، فهذه تفاصيل بسيطة.
مرفق يحاكي إرشادات الموارد البشرية
بالطبع، لا يحتوي المستند المرفق على أي إرشادات حقيقية للموارد البشرية. وما ستجده هو صفحة عنوان تحمل شعار شركة صغير وعنوان بارز “دليل الموظف”. ويتضمن أيضًا جدول محتويات مع عناصر مميزة باللون الأحمر، وكأنها تشير إلى تغييرات، يتبعها صفحة تحتوي على رمز QR (وكأنه للوصول إلى المستند الكامل). أخيرًا، توجد تعليمات أساسية جدًا عن كيفية مسح رموز QR بهاتفك. ويؤدي الرمز، بالطبع، إلى صفحة حيث يُطلب فيها من المستخدم إدخال بيانات الاعتماد الخاصة بالشركة، وهو ما يسعى إليه مُنفّذو هذا المخطط.
مستند المحتالين المستخدم كطُعم
يزخر المستند بعبارات تهدف إلى إقناع الضحية بأنه مخصص له تحديدًا. حتى أن اسمه يُذكر مرتين: مرة في التحية ومرة أخرى في السطر “هذه الرسالة موجهة إلى…” الذي يسبق التعليمات. ولا ننسَ أن اسم الملف يتضمن اسمه كذلك. لكن السؤال الأول الذي يجب أن يثيره هذا المستند هو: ما الغرض منه؟
من الناحية الواقعية، كان من الممكن عرض كل هذه المعلومات مباشرةً في رسالة البريد الإلكتروني دون الحاجة إلى إنشاء ملف شخصي من أربع صفحات. لماذا يبذل موظف موارد بشرية كل هذا الجهد ويُنشئ هذه المستندات التي تبدو بلا فائدة لكل موظف؟ بصراحة، شككنا في البداية في أن المحتالين سيكلفون أنفسهم عناء هذا الإعداد المعقد. لكن أدواتنا تؤكد أن جميع رسائل التصيّد الاحتيالي في هذه الحملة تحتوي بالفعل على مرفقات مختلفة، كل منها فريد لاسم المستلم. ونشهد نحن على الأرجح عمل آلية إرسال آلية جديدة تُولّد مستندًا وصورة بريد إلكتروني لكل مستلم… أو ربما مجرد محتالين مفرطين في الإخلاص لعملهم.
كيفية الحفاظ على أمانك
يستطيع حل أمان متخصص منع معظم رسائل البريد الإلكتروني الاحتيالية على خادم بريد الشركة. بالإضافة إلى ذلك، يجب أيضًا حماية جميع الأجهزة التي يستخدمها موظفو الشركة في العمل، بما في ذلك الهواتف المحمولة.
نوصي أيضًا بتثقيف الموظفين حول أساليب الاحتيال الحديثة – على سبيل المثال، من خلال مشاركة الموارد من مدونتنا – وزيادة وعيهم العام بالأمن الإلكتروني باستمرار. ويمكن تحقيق ذلك عبر منصات مثل Kaspersky Automated Security Awareness.
النصائح