تنتظر موسم تسوق العطلات لعام 2025 تهديد سيبراني كبير، حيث يشن فاعلو الأخطار حملة واسعة النطاق لإنشاء متاجر تجزئة وهمية عبر الإنترنت. تهدف هذه المواقع الاحتيالية إلى انتحال شخصية علامات تجارية عالمية معروفة، لخداع المستهلكين غير الحذرين للكشف عن معلومات مالية حساسة أو تنزيل برامج ضارة.
هذه الحملة الخبيثة تستخدم شبكة تضم أكثر من 200 نطاق مسجل حديثًا، تم إنشاؤها بشكل أساسي عبر مزودي بنية تحتية صينيين. من خلال استغلال الزيادة في حركة مرور التسوق عبر الإنترنت خلال أحداث مثل الجمعة السوداء وعيد العزاب، يسعى المجرمون إلى زيادة نطاق وصولهم.
تتضمن طرق الهجوم هذه عروضًا ترويجية على وسائل التواصل الاجتماعي، مثل تيك توك وفيسبوك، التي تجذب المستخدمين إلى هذه المتاجر الوهمية. بمجرد زيارة الضحية للموقع، يتم تقديم أنظمة دفع مزيفة غالبًا ما تجمع تفاصيل بطاقات الائتمان أو تعيد توجيههم إلى حمولات ضارة.
قام محللون من Bfore.ai بتحديد هذه الحملة في نوفمبر 2025، مشيرين إلى اعتمادها على بيانات WHOIS المحمية بالخصوصية لإخفاء هوية مرتكبيها. أبرز الباحثون أن العملية تظهر علامات نموذج احتيال “صناعي”، مع تتبع مجموعات متميزة من الأنشطة إلى مزودي استضافة وأنظمة مستقلة محددة.
تسمح هذه البنية التحتية المتطورة للمهاجمين بالتبديل بسرعة ونشر نطاقات جديدة فور الكشف عن النطاقات القديمة وإيقافها. يمتد تأثير الحملة على المستهلكين إلى ما هو أبعد من الخسارة المالية الفورية ليشمل احتمالية سرقة الهوية. يشير حجم العملية إلى مجموعة ذات دوافع مالية تمتلك الموارد للحفاظ على هجوم طويل الأمد.
حملات احتيالية وتقنيات مراوغة
تستخدم هذه الحملة مجموعة متنوعة من التكتيكات الخادعة لتجنب الكشف والتلاعب بثقة المستخدم. يتضمن أحد الأساليب البارزة حملات “موجهة بالأجندة”، حيث يتم إعادة استخدام نطاقات مثل “peaceforsecurity[.]com” لبيع سلع الموضة. من المحتمل أن يهدف هذا التكتيك إلى تجاوز مرشحات الأمان باستخدام كلمات رئيسية غير مرتبطة بالاحتيال التجاري المعتاد.
ينشئ تكتيك آخر الغموض عن طريق مزج أسماء العلامات التجارية، مثل نطاق “lululemonsalehub” الذي يروج لمنتجات شعر غير ذات صلة. يمكن لهذه التناقضات أن تربك المستخدمين أثناء استغلال التعرف على العلامة التجارية.
علاوة على ذلك، يستخدم المهاجمون قوالب عامة مملوءة بأسماء غير منطقية وعروض “شحن مجاني” لخلق شعور بالشرعية. يكشف التحليل الفني عن استخدام مكتبات JavaScript متطابقة وأنماط عناوين URL للدفع، مثل:
/collections/all
/products/item123أخيرًا، يتم تصنيع إلحاح موسمي من خلال نطاقات مثل “mango-flashsale[.]com”، والتي تحاكي أحداث المبيعات المشروعة لحث المستخدمين على اتخاذ قرارات متسرعة. تظهر هذه الإغراءات المتطورة، جنبًا إلى جنب مع خوادم الأسماء المشتركة والبنية التحتية الخلفية، التعقيد المتزايد لعمليات التصيد الاحتيالي الحديثة في قطاع التجزئة.