كشفت تقارير أمنية حديثة عن حملة تصيد احتيالي متطورة تستهدف المواطنين في كندا، مستخدمة بوابات دفع لمخالفات المرور وهمية لسرقة المعلومات الشخصية والمالية. تأتي هذه الظاهرة لتسلط الضوء على تزايد التهديدات السيبرانية التي تستغل البحث الآمن للمعلومات.
يعتمد المحتالون في هذه الحملة على تقنيات “تسميم محركات البحث” (SEO poisoning) للتلاعب بنتائج البحث، مما يضمن ظهور المواقع الاحتيالية كمواقع رسمية وموثوقة عندما يبحث المستخدمون عن خيارات دفع مخالفات المرور في المقاطعات الكندية.
تنتحل هذه البوابات الخبيثة شخصية مواقع حكومية رسمية في مقاطعات كندية بارزة مثل كولومبيا البريطانية وأونتاريو وكيبيك، وذلك لخداع الضحايا وإجبارهم على إدخال بياناتهم الحساسة.
تبدأ عملية الاحتيال عندما يتلقى الأفراد رسائل نصية أو يشاهدون إعلانات خبيثة تدعي وجود مخالفات مرورية غير مدفوعة عليهم. تحتوي هذه الرسائل على روابط مختصرة أو نطاقات ذات تشابه إملائي مع المواقع الرسمية، والتي توجه الضحايا بدورها إلى بوابات دفع مزيفة.
وتتميز المواقع المزيفة بتصميمها الذي يحاكي بدقة المنصات الحكومية الشرعية، حيث تتضمن شعارات المقاطعات وتصاميم تبدو رسمية، مما يمنحها مصداقية زائفة ويزرع الثقة في نفوس الضحايا.
حملة احتيال لمخالفات المرور الوهمية
وقد حدد باحثو Unit 42 هذه الحملة كجزء من شبكة احتيال واسعة تنتشر عبر عدة نطاقات. يستخدم المهاجمون مجموعات أدوات تصيد متخصصة تتضمن ميزة “غرفة الانتظار” الخادعة، والتي تخلق انطباعاً بوجود عملية معالجة شرعية لعمليات البحث عن المخالفات.
اكتشف الباحثون أكثر من سبعين نطاقًا خبيثًا مرتبطة بعنوان IP واحد، جميعها مصممة لجمع المعلومات الشخصية القابلة للتعريف (PII) وتفاصيل بطاقات الدفع من الضحايا المطمئنين.
البنية التحتية للحملة وآلية الاختراق
ينشر المهاجمون بنية تحتية متعددة المراحل للتصيد، مستضيفة على نطاقات فرعية محددة، أبرزها تلك التي تقع ضمن نطاق الشبكة 45.156.87.0/24. تتضمن هذه العملية إنشاء نطاقات متعددة تتبع أنماط تسمية تشمل مصطلحات مثل “ticket”، “traffic”، “portal”، و”violation”، مما يشير إلى قدرات آلية لتوليد النطاقات.
تعرض مجموعة أدوات التصيد الضحايا أولاً لمرحلة التحقق، حيث يُطلب منهم إدخال أرقام تذاكر أو معرفات حجز، وتقبل هذه المرحلة أي مدخلات، مما يرسخ شرعية زائفة قبل الانتقال إلى بوابات الدفع الاحتيالية.
عندما ينتقل الضحايا إلى قسم الدفع، تقوم البوابة المزيفة بجمع تفاصيل شخصية شاملة، بما في ذلك الأسماء الكاملة، والعناوين، ورسائل البريد الإلكتروني، وأرقام الهواتف، وتواريخ الميلاد.
تتضمن المرحلة الأخيرة طلب معلومات بطاقة ائتمان كاملة، بما في ذلك أرقام البطاقات، وتواريخ الانتهاء، ورموز الأمان CVV. على عكس معالجات الدفع الشرعية التي تعيد التوجيه إلى بوابات بنكية آمنة، فإن هذه المواقع الاحتيالية تلتقط جميع المعلومات مباشرة، مما يمنح المهاجمين وصولاً فورياً إلى بيانات الاعتماد المالية لإجراء معاملات غير مصرح بها.
ينصح المستخدمون بتوخي الحذر الشديد والتحقق من شرعية أي إشعار يتعلق بمخالفات المرور عبر مواقع حكومية رسمية، ويفضل كتابة عناوين URL مباشرة في المتصفح بدلاً من النقر على الروابط المرفقة في الرسائل.
كما يُنصح بتمكين تنبيهات المعاملات على بطاقات الائتمان ومراجعة كشوفات الحساب بانتظام للكشف عن أي نشاط مشبوه. بالنسبة للمؤسسات، يُوصى بتطبيق تصفية DNS ضد النطاقات المعروفة بأنها خبيثة لمنع الوصول إليها.