تبدأ حملة تصيد احتيالي جديدة باستهداف مستخدمي MetaMask عبر رسائل بريد إلكتروني مصممة بعناية تحتوي على تقارير أمنية مزيفة، بهدف خداع المستخدمين ودفعهم لإفشاء بيانات حساباتهم. تستغل هذه الحملة تكتيكات الهندسة الاجتماعية لخلق إحساس زائف بالإلحاح بشأن أمن الحساب، وتدفع المستخدمين بشكل خاص نحو تفعيل المصادقة الثنائية عبر روابط خبيثة. MetaMask، الذي يعد من أشهر محافظ العملات المشفرة ويتوفر كتطبيق للمتصفح وتطبيق للهواتف الذكية، أصبح هدفاً رئيسياً للمهاجمين الساعين لاستغلال قاعدة مستخدميه الواسعة.
تصل رسائل البريد الإلكتروني الاحتيالية هذه مرفقة بملف PDF يحمل اسم “Security_Reports.pdf” (تقارير الأمان)، والذي يتضمن تقريراً مزيفاً لحادثة أمنية يحذر المستلمين من نشاط تسجيل دخول غير عادي على حساباتهم. هذا المستند، بحد ذاته، ليس ضاراً، ولكنه يعمل كسلاح نفسي لإثارة قلق المستخدمين وتقليل دفاعاتهم. كما تتضمن الرسائل رابطاً يوجه الضحايا إلى صفحة تصيد احتيالي مستضافة على خدمات Amazon Web Services (AWS)، حيث يتم فعلياً سرقة بيانات الاعتماد.
كشف محللو مركز Internet Storm Center عن هذه الحملة، وأشاروا إلى العديد من التفاصيل التقنية المثيرة للاهتمام حول كيفية تنفيذها. تم إنشاء ملف PDF المزيف باستخدام ReportLab، وهي خدمة عبر الإنترنت ومكتبة Python شرعية تستخدم عادة لإنشاء مستندات PDF احترافية. يحمل ملف PDF هذا هاش SHA256 (2486253ddc186e9f4a061670765ad0730c8945164a3fc83d7b22963950d6dcd1)، مما يسمح لفرق الأمن بتحديد نسخ من المستند الضار.
على الرغم من الاستخدام المتقدم للتقارير الأمنية المزيفة، لاحظ الباحثون أن جودة الحملة الإجمالية لا تزال منخفضة نسبياً. عناوين البريد الإلكتروني للمرسلين ليست مزيفة، مما يسهل التعرف على رسائل البريد الإلكتروني على أنها احتيالية عند فحصها عن كثب. بالإضافة إلى ذلك، تفتقر مستندات PDF إلى التخصيص أو العلامة التجارية الخاصة بكل ضحية، مما كان يمكن أن يجعل الهجوم أكثر إقناعاً.
آلية التصيد الاحتيالي وتكتيكات الهندسة الاجتماعية
تعمل هذه الحملة من خلال استغلال قلق المستخدمين الطبيعي بشأن أمن حساباتهم وخوفهم من الوصول غير المصرح به. يخلق تقرير الحادثة المزيف وضعاً طارئاً مصطنعاً يضغط على المستلمين لاتخاذ إجراء فوري دون التحقق بعناية من مصداقية الاتصال. من خلال تأطير رابط التصيد الاحتيالي كإجراء لتعزيز الأمان، يحاول المهاجمون تجاوز التشكيك الطبيعي لدى المستخدمين ضد النقر على الروابط المشبوهة.
يضيف استخدام البنية التحتية لـ Amazon Web Services لاستضافة صفحة التصيد الاحتيالي طبقة إضافية من المصداقية المتصورة، حيث قد تبدو نطاقات AWS أكثر جدارة بالثقة للمستخدمين الأقل خبرة تقنياً. يجب على المستخدمين التحقق بعناية من عنوان البريد الإلكتروني للمرسل قبل فتح المرفقات أو النقر على الروابط في الرسائل المتعلقة بالأمان.
لا تطلب MetaMask أبداً معلومات حساسة مثل عبارات الاسترداد عبر الاتصالات البريدية الإلكترونية. يجب تفعيل المصادقة الثنائية فقط من خلال قنوات MetaMask الرسمية التي يتم الوصول إليها عن طريق كتابة عنوان الموقع يدوياً. يجب على فرق الأمن حظر نطاق التصيد الاحتيالي المحدد لـ AWS وإضافة الهاش الخاص بملف PDF إلى قواعد بيانات معلومات التهديدات.