تم الكشف عن حملة تصيد احتيالي متطورة تستهدف مستخدمي تطبيق تليجرام، تمثل تغيراً ملحوظاً في أساليب الجهات الخبيثة للسيطرة على حسابات المستخدمين. على عكس الأساليب التقليدية التي تعتمد على استنساخ صفحات تسجيل الدخول لسرقة كلمات المرور، تتلاعب هذه الحملة بالبنية التحتية الشرعية للمصادقة الخاصة بالمنصة.
من خلال الاندماج المباشر مع مسارات تسجيل الدخول الرسمية لتليجرام، يتمكن المهاجمون من تجاوز المرشحات الأمنية القياسية والحصول على جلسات مستخدم مصرح بها بالكامل دون إثارة إنذارات فورية. تستهدف هذه التقنيات تقليل شكوك المستخدمين عن طريق محاكاة فحوصات وإجراءات التحقق الأمنية الروتينية.
حملة تصيد تليجرام تستغل آلية المصادقة
يواجه المستخدمون واجهات تسجيل دخول احتيالية تدعم كلاً من مسح رموز الاستجابة السريعة (QR) والإدخال اليدوي لرقم الهاتف. هذه الواجهات مستضافة على نطاقات مؤقتة تحاكي بشكل وثيق العلامة التجارية الرسمية لتليجرام. عندما يتفاعل المستخدم مع هذه العناصر، فإنه لا يرسل بيانات إلى قاعدة بيانات مخترق، بل يقوم بشكل غير واعٍ بتشغيل طلب تسجيل دخول حقيقي يبدأه جهاز المهاجم.
لاحظ محللو شركة Cyfirma هذه البرمجيات الخبيثة بعد ملاحظة قدرتها الفريدة على تقديم طلبات تفويض المصادقة كعمليات تحقق أمنية. وأشار الباحثون إلى أن هذا الأسلوب يزيد بشكل كبير من امتثال الضحايا ويقلل من الشذوذات القابلة للكشف.
بمجرد أن يوافق المستخدم على الطلب على جهازه المحمول، معتقداً أنه يتحقق من هويته، يكتسب المهاجمون وصولاً فورياً ومستمراً إلى الحساب. وهذا يسمح لهم بمراقبة الاتصالات وإطلاق هجمات ثانوية ضد جهات اتصال الضحية دون تنبيه المستخدم من خلال تحذيرات تسجيل الدخول المشبوهة المعتادة أو الحاجة إلى الوصول عبر استغلال الثغرات.
البنية التحتية الديناميكية وإساءة استخدام واجهات برمجة التطبيقات (APIs)
تتجلى الدقة التقنية لهذه الحملة في استخدامها للتكوينات الخلفية الديناميكية لتجنب الكشف. بدلاً من ترميز منطق التصيد بشكل ثابت في واجهة HTML الأمامية، يستعيد الموقع تعليمات وقت التشغيل من خادم مركزي عبر طلبات واجهة برمجة التطبيقات الأصلية (cross-origin API requests). يوفر هذا الاستجابة بصيغة JSON، بيانات اعتماد واجهة برمجة تطبيقات تليجرام التي يتحكم بها المهاجم، مثل api_id و api_hash، بالإضافة إلى بيانات اللغة المحلية لعرض واجهة تسجيل الدخول.
يسمح هذا التصميم المعتمد على التكوين للمشغلين بتدوير النطاقات بسرعة مع الحفاظ على منطق مصادقة متسق عبر الأهداف الموزعة عالميًا. تعرض صفحات التصيد أيضًا رسائل نظام مضللة، تطلب من المستخدمين النقر على “نعم” في الإشعار داخل التطبيق “للتحقق” من حساباتهم.
من خلال تحويل الإجراء الحاسم إلى واجهة تطبيق تليجرام الموثوق بها، تنجح الحملة في إخفاء الطبيعة الخبيثة لعملية ربط الجلسة. للتخفيف من هذه المخاطر، يجب على المستخدمين ممارسة الحذر الشديد مع طلبات تفويض المصادقة داخل التطبيق.
لا توافق أبداً على طلب تسجيل الدخول ما لم تكن قد بدأته شخصياً، حتى لو ادعت المطالبة أنها فحص أمني أو مراجعة للنشاط غير العادي. من الضروري تجنب مسح رموز الاستجابة السريعة من مواقع الويب غير المألوفة، ومراجعة الجلسات النشطة بانتظام في إعدادات “الأجهزة” داخل تليجرام.
أخيرًا، يضيف تمكين التحقق بخطوتين طبقة دفاع حاسمة، مما يمنع إنشاء الجلسات غير المصرح بها عن طريق طلب كلمة مرور ثانوية حتى لو تم خداع المستخدم للموافقة على المطالبة الأولية. يعد الوعي وتطبيق الإجراءات الأمنية خطوات أساسية للحفاظ على أمان الحسابات الرقمية.