كشف خبراء الأمن السيبراني عن حملة احتيالية متطورة تستهدف سرقة تفاصيل بطاقات الائتمان، حيث انتحل القائمون عليها صفة شركة “أفاست” (Avast) الرائدة في مجال الأمن الرقمي. تهدف هذه الحملة إلى خداع المستخدمين للاعتقاد بأنهم يقومون بإلغاء رسوم خاطئة، في حين أن الهدف الحقيقي هو الحصول على بيانات مالية حساسة.
تستغل العملية البرمجية الخبيثة العلامة التجارية الموثوقة لشركة أفاست لتجاوز شكوك المستخدمين. يتم هذا الخداع عبر موقع ويب مزيف يحاكي بدقة متناهية البوابة الأصلية لأفاست، مستعيناً بألوان وتصميمات رسمية لبث الثقة. تستغل الحملة علم النفس التلاعبي، حيث تواجه الزوار بسجل معاملة وهمي يخصم مبلغ 499.99 يورو.
احتيال “أفاست” يستهدف بيانات بطاقات الائتمان
لتعزيز الشعور بالإلحاح، تعرض الصفحة تحذيراً بأن طلبات الإلغاء يجب أن تقدم خلال 72 ساعة، مع الإشارة إلى أن المعاملات التي مضى عليها أكثر من 48 ساعة لا يمكن عكسها. وغالباً ما يتجاهل المستخدمون هذا التناقض الواضح تحت ضغط الخوف من الخسارة المالية الكبيرة.
يعزز المحتالون مصداقية صفحتهم من خلال تحميل شعار أفاست الرسمي مباشرة من شبكة توصيل المحتوى الخاصة بالشركة، مما يضمن عرض العناصر المرئية بشكل مثالي. وتم اختيار المبلغ الثابت للرسوم بدقة ليكون كبيراً بما يكفي لحث المستخدمين على اتخاذ إجراء سريع، دون أن يبدو غير قابل للتصديق كاشتراك في برنامج.
كشفت تحليلات خبراء Malwarebytes أن هذه الحملة تستخدم برمجة ديناميكية لزيادة تأثيرها على كل زائر. تعتمد الصفحة الاحتيالية على سطر معين من JavaScript يقرأ ساعة النظام المحلية ويقوم بإدراج التاريخ الحالي تلقائياً في سجل المعاملة. وهذا يضمن أن تبدو المعاملة وكأنها حدثت في صباح ذلك اليوم، بغض النظر عن يوم الأسبوع، مما يزيد من الصدمة.
الجدير بالذكر أن التصميم المتقن للحملة يستهدف شريحة واسعة من الضحايا المحتملين. يشمل ذلك عملاء أفاست الحاليين الذين يعتقدون أن الأمر مجرد خطأ في الفوترة، بالإضافة إلى المستخدمين السابقين الذين قد يظنون أن حساباً قديماً قد تم تجديده. كما أنها تستهدف بفعالية غير العملاء الذين يخشون فوراً من سرقة هويتهم عند رؤية الرسوم.
حتى الأشخاص الذين يبحثون عن استرداد أموال غير مستحقة يقعون في الفخ، حيث لا تتطلب الصفحة تسجيل دخول أو مفتاح ترخيص. وهذا يسمح لأي شخص بالوصول مباشرة إلى نماذج جمع البيانات دون الحاجة إلى مصادقة. وتُعد حماية بطاقات الائتمان وسلامة البيانات من الأولويات القصوى للأفراد والشركات على حد سواء.
الآليات التقنية لجمع البيانات والتهرب
تم بناء البنية التحتية التقنية لهذا الاحتيال للتحقق من البيانات وإخراجها بكفاءة، مع الحفاظ على وهم التفاعل مع الدعم. بمجرد قيام الضحية بإدخال تفاصيل الاتصال الشخصية الخاصة به، تعرض الصفحة نافذة منبثقة تطلب صراحةً معلومات بطاقة الائتمان الكاملة، بما في ذلك الرقم وتاريخ انتهاء الصلاحية ورمز CVV.
لضمان فائدة البيانات المسروقة، طبق المحتالون خوارزمية Luhn داخل الشيفرة البرمجية للصفحة. تتحقق هذه الخوارزمية الرياضية من السلامة الهيكلية لرقم بطاقة الائتمان المدخل في الوقت الفعلي، مما يمنع إدخال الأخطاء المطبعية أو الأرقام الوهمية. لا يتم قبول سوى تنسيقات البطاقات الصحيحة، والتي يتم تجميعها بعد ذلك في كائن JSON وإرسالها عبر طلب POST إلى ملف خلفي يسمى send.php.
بشكل مميز، تدمج الصفحة أيضاً أداة دردشة حية من Tawk.to، باستخدام معرف الحساب 689773de2f0f7c192611b3bf. وهذا يسمح للمسؤولين بالتفاعل مع الضحايا المترددين في الوقت الفعلي. يعمل هذا العنصر التفاعلي كـ “وكيل دعم” لدفعهم نحو إكمال العملية.
بعد سرقة البيانات، يتم إعادة توجيه المستخدم إلى صفحة تأكيد. وهي تكتيك هندسة اجتماعية نهائي يهدف إلى إزالة الأدوات الأمنية التي قد تنبه الضحية إلى الاحتيال المستمر. للحماية من هذه التهديدات المنتشرة، يجب على المستخدمين التعرف على علامات الاحتيال المتعلق برد الأموال.
لا تطلب الشركات المشروعة أبداً رقماً كاملاً لبطاقة الائتمان ورمز الأمان لمعالجة استرداد الأموال، حيث إنها تمتلك بالفعل بيانات المعاملة اللازمة. إذا واجهت رسوماً مشبوهة، فانتقل مباشرة إلى الموقع الرسمي للشركة بدلاً من النقر على الروابط في الرسائل غير المرغوب فيها.
بالنسبة لأولئك الذين ربما أدخلوا تفاصيلهم، من الضروري الاتصال بالبنك فوراً لإلغاء البطاقة المخترقة والاعتراض على أي رسوم معلقة. كما يُنصح بتغيير كلمات المرور لأي حسابات مرتبطة بعنوان البريد الإلكتروني المقدم للمحتالين، حيث يمكن أن تشكل هذه البيانات خطراً على الاستيلاء على الحسابات مستقبلاً.
إذا كنت غير متأكد، يمكنك أيضاً إرسال الرسائل المشبوهة إلى أدوات الكشف مثل Scam Guard للمراجعة. وأخيراً، حافظ دائماً على تحديث نظام التشغيل والتطبيقات الخاصة بك، وقم بتشغيل فحص شامل باستخدام برامج أمان ذات سمعة طيبة للتأكد من عدم إدخال أي برامج ضارة إضافية أو أدوات وصول عن بعد أثناء التفاعل.