تستهدف حملة تصيد احتيالي جديدة مديري مواقع ووردبريس برسائل احتيالية مقنعة حول تجديد نطاق الموقع، بهدف سرقة بيانات بطاقات الائتمان ورموز المصادقة الثنائية.
تنتحل رسائل البريد الإلكتروني، التي تبدو وكأنها إشعارات شرعية من ووردبريس، صفة رسائل تجديد أصلية، لتوجيه الضحايا إلى بوابة دفع وهمية حيث يتم جمع بياناتهم المالية الحساسة وإرسالها مباشرة إلى المهاجمين عبر قنوات تليجرام.
حملة احتيالية تستهدف تجديد نطاق ووردبريس
تبدأ الهجمة ببريد إلكتروني احترافي يحمل عنوان “Renewal due soon – Action required”، والذي يستخدم تكتيكات قائمة على الإلحاح لإجبار المتلقين على اتخاذ إجراء سريع.
يحذر البريد الإلكتروني من احتمال تعطل الخدمة دون تحديد اسم النطاق الفعلي، مما يسمح للحملة باستهداف عدد كبير من المؤسسات. يتميز البريد بمظهر احترافي مصمم لتجاوز مرشحات البريد العشوائي وبلوغ المستخدمين الذين قد لا يدققون في تفاصيل المرسل.
آليات الإصابة والاحتيال
اكتشف محلل أمن مستقل، أنوراج غواندي، الحملة بعد تحليل البنية التحتية للتصيد الاحتيالي. كشفت تحقيقاته عن هجوم معقد متعدد المراحل مصمم لاستخلاص أقصى قيمة من كل حساب مخترق.
عند النقر على الرابط في البريد الإلكتروني، يتم توجيه الضحايا إلى صفحة دفع وهمية لووردبريس مستضافة على نطاق يملكه المهاجمون (soyfix[.]com/log/log/).
تعرض الصفحة نسخة طبق الأصل لواجهة الدفع الشرعية لووردبريس، مع تفاصيل دقيقة للتسعير وحسابات ضريبة القيمة المضافة وشعارات طرق الدفع المعروفة.
سرقة البيانات المالية ورموز المصادقة
تقوم بوابة التصيد الاحتيالي بجمع معلومات البطاقة عبر نموذج جافاسكريبت يلتقط اسم حامل البطاقة ورقمها وتاريخ انتهاء صلاحيتها ورمز التحقق (CVV).
بعد تقديم البيانات، يتم إرسالها فورًا عبر طلب POST إلى سكريبت خلفي اسمه send_payment.php، والذي يقوم بدوره بتمرير بيانات الاعتماد المسروقة إلى بوتات تليجرام يتحكم بها المهاجمون.
يتعمق الاحتيال في مرحلة ثانية تستهدف المصادقة الثنائية. بعد تقديم معلومات البطاقة، يواجه الضحايا نافذة منبثقة وهمية لمصادقة 3D Secure تعرض تفاصيل التاجر ومرجع المعاملة والمبالغ.
يُطلب من المستخدمين إدخال رموز OTP الواردة عبر الرسائل القصيرة. ومع ذلك، فإن عملية التحقق تعود برسالة “فشل التحقق” بشكل متعمد، بغض النظر عما إذا كان الرمز صحيحًا أم لا.
هذا يجبر الضحايا على المحاولة عدة مرات، مما يسمح للمهاجمين بجمع العديد من رموز OTP الصالحة التي يتم إرسالها إلى الجهاز المحمول للضحية. يتم نقل هذه الرموز فورًا إلى قنوات تليجرام عبر نقطة نهاية منفصلة تسمى send_sms.php.
الاستفادة من الثقة والتكنولوجيا
تستخدم الحملة آليات نفسية لبناء الثقة، بما في ذلك تأخيرات تحميل مصطنعة. هناك وقفة سبع ثوانٍ بعد تقديم الدفع وأربع ثوانٍ لتأخير معالجة التحقق، بهدف إقناع الضحايا بأنهم يتعاملون مع بنية تحتية شرعية.
هذه التأخيرات المتعمدة تقلل من شكوك المستخدمين وتزيد من احتمالية امتثالهم. يتجنب المهاجمون ببراعة البنية التحتية التقليدية للقيادة والتحكم، مستفيدين من تليجرام كقناة أساسية لاستخلاص البيانات.
يوفر هذا النهج مزايا عدة: تكاليف بنية تحتية قليلة، تشفير مدمج، صعوبة في التعطيل، وتقليل فرص الاكتشاف مقارنة بأنظمة إدارة البيانات التقليدية.
تكشف تحليلات رؤوس رسائل البريد الإلكتروني أن الحملة تنطلق من ityounginevitables[.]com، وتمر عبر البنية التحتية لـ SMTP لشركة Alibaba Cloud، مع سياسة DMARC ضعيفة لا توفر حماية ضد التزييف.
يجب على المؤسسات تثقيف مديري مواقعهم بعدم النقر أبدًا على روابط تجديد النطاق في رسائل البريد الإلكتروني، والتحقق من جميع إشعارات التجديد مباشرة عبر لوحات تحكم ووردبريس الرسمية.