مع اقتراب موسم التسوق للعطلات، ظهر تهديد سيبراني كبير يعرض المتسوقين عبر الإنترنت لخطر بالغ. وقد تم اكتشاف حملة منسقة تتضمن تسجيل أكثر من 2000 متجر وهمي يحمل طابع العطلات، بهدف خداع المستهلكين وسرقة بياناتهم.
تهدف هذه المواقع الخبيثة إلى استدراج المستهلكين المطمئنين بوعود بخصومات كبيرة، ثم سرقة معلوماتهم المالية وبياناتهم الشخصية. وقد تم تحديد مجموعتين متميزتين من واجهات المتاجر الاحتيالية، تستخدمان كلاهما تكتيكات متطورة لتبدو مشروعة وتقنع المتسوقين.
آلاف المتاجر الوهمية تهدد المتسوقين
تتكون المجموعة الأولى بشكل أساسي من نطاقات ذات أخطاء إملائية تحاكي Amazon، بينما تشمل المجموعة الثانية مجموعة واسعة من نطاقات “.shop” التي تنتحل علامات تجارية معروفة مثل Apple و Samsung و Ray-Ban. هذه المتاجر الوهمية ليست حوادث منعزلة، بل هي جزء من حملة مؤتمتة واسعة النطاق.
تم توقيت هجوم الجهات الفاعلة الخبيثة بالتزامن مع فترات التسوق المكثفة مثل الجمعة السوداء واثنين الإنترنت، حيث يبحث المستهلكون بنشاط عن صفقات وقد يكونون أقل حذرًا بشأن المواقع غير المألوفة.
تكتيكات الخداع والاستغلال
لاحظ باحثو الأمن السيبراني الطبيعة المنسقة لهذه عمليات الاحتيال، مشيرين إلى استخدام نفس مجموعات التصيد الاحتيالي (phishing kits)، وقوالب مواقع الويب المتكررة، والبنية التحتية المشتركة عبر شبكة المتاجر الوهمية. هذا المستوى من التنسيق يشير إلى عملية منظمة وممولة جيدًا.
الآثار المترتبة على المستهلكين وخيمة، تتراوح بين الخسائر المالية المباشرة والمخاطر طويلة الأجل لسرقة الهوية. علاوة على ذلك، تقوض هذه عمليات الاحتيال الثقة في تجار التجزئة الشرعيين ونظام التجارة الإلكترونية ككل.
آلية العمل وطرق الإيقاع بالضحايا
تعتمد طريقة عمل هذه المتاجر الوهمية على مزيج من الهندسة الاجتماعية والتهرب التقني لخداع المستخدمين وتجنب الاكتشاف. تم تصميم المواقع لتبدو كمنصات تجارة إلكترونية احترافية، مع لافتات تحمل طابع العطلات، وأجهزة توقيت العد التنازلي لخلق شعور زائف بالإلحاح، وشارات “ثقة” مزيفة لبناء المصداقية.
كما تُستخدم نوافذ منبثقة زائفة لـ “عمليات الشراء الأخيرة” لخلق دليل اجتماعي والضغط على الزوار لإجراء عملية شراء. عندما يحاول المستخدم شراء منتج، يتم توجيهه إلى صفحة دفع وهمية مصممة لجمع تفاصيل الفوترة والدفع الخاصة به.
النطاقات الوهمية والمتنكرة
غالبًا ما تستخدم هذه المواقع الوهمية نطاقات غير معلنة لمعالجة المعاملات، مما يسمح للمهاجمين بتجاوز أنظمة كشف الاحتيال. كشف التحقيق أيضًا أن شبكة توصيل محتوى (CDN) مشتركة، cdn.cloud360.top، تم استخدامها لخدمة الأصول لأكثر من 750 متجرًا وهميًا، مما يسلط الضوء مرة أخرى على الطبيعة المركزية للحملة.
تم العثور أيضًا على ملف JavaScript متكرر، تم تحديده برقم SHA-256 المميز، عبر العديد من نطاقات .shop الخبيثة، والذي يتحكم في عملية الدفع الاحتيالية. وتشمل الأمثلة على النطاقات التي تم رصدها:
| مجموعة النطاقات | العلامة التجارية المنتحلة | أمثلة على النطاقات الوهمية |
|---|---|---|
| المجموعة أ (ذات طابع Amazon) | Amazon | amaboxhub.com, amawarehousesale.com, amaznshop.com |
| المجموعة ب (نطاقات .shop) | Xiaomi | xiaomidea.shop |
| Jo Malone | Jomalonesafe.shop |
|
| Fujifilm | Fujifilmsafe.shop |
|
| Samsung | Samsungsafe.shop |
|
| علامة تجارية شهيرة | [brand]safe.shop أو [brand]fast.shop |