شهد موسم الأعياد موجة متزايدة من هجمات التصيد الاحتيالي المتطورة، والتي تجمع بين تكتيكين خطيرين: سرقة بيانات الاعتماد عبر إشعارات Docusign المزيفة، وسرقة الهوية عبر نماذج طلبات القروض الوهمية.
تستغل هذه الحملات المنسقة الفوضى الموسمية وصناديق البريد المزدحمة والضغوط المالية التي تبلغ ذروتها خلال فترة عيد الميلاد ورأس السنة الجديدة.
يستفيد المهاجمون من الثقة التي يضعها المستخدمون في سير العمل التجاري المألوف، وخاصة عمليات مراجعة المستندات، لاختراق البيانات الشخصية والمؤسسية على نطاق واسع.
هجمات التصيد الاحتيالي المرتبطة بـ Docusign
تعتمد الحملة الهجومية على إقناع المستخدمين بضرورة مراجعة المستندات المكتملة خلال فترة الأعياد المزدحمة.
يرسل المحتالون رسائل بريد إلكتروني تبدو وكأنها من Docusign، تحمل علامة تجارية وتذييلات تبدو أصلية، ولكن هذه الرسائل تنشأ من نطاقات مشبوهة مثل jritech.shop بدلاً من خوادم Docusign الشرعية.
تشير رسائل البريد الإلكتروني إلى مستندات وهمية مرتبطة بعيد الميلاد، مثل طلبات النبيذ، مما يخلق شعورًا بالشرعية يشجع على النقر السريع دون تحقق.
عندما ينقر المستخدمون على زر “مراجعة المستند”، يتم إعادة توجيههم عبر منصات استضافة متعددة، بما في ذلك Fastly و Glitch و Surge.sh، قبل الوصول إلى صفحات جمع بيانات الاعتماد المصممة لسرقة تسجيلات الدخول إلى البريد الإلكتروني للمؤسسات.
تحليل هجمات Docusign
حدد محللو Forcepoint سلسلة التهديدات المتطورة هذه خلال أبحاث X-Labs في أواخر ديسمبر، وتتبعوا كيفية تنظيم الهجمات واكتشفوا البنية التحتية الداعمة التي تمكن الاحتيال.
لاحظ الباحثون أن الموجة الثانية من الحملة تقدم متجه هجوم منفصل ولكنه مكمل يستهدف المعلومات المالية الشخصية بدلاً من بيانات اعتماد المؤسسات.
خداع طلبات القروض لفترة الأعياد
تعد رسائل البريد الإلكتروني العشوائية المتعلقة بقروض الأعياد هذه بتقديم نقود سريعة، وأسعار فائدة منخفضة، وموافقات عاجلة لالتقاط البيانات الشخصية الحساسة.
تتضمن آلية الهجوم الأساسية استبيانًا متعدد المراحل لسرقة الهوية مستضافًا على christmasscheercash.com، والذي يمر عبر الضحايا عملية خداع لجمع البيانات.
آلية جمع البيانات
يبدأ النموذج بشكل غير ضار بسؤال المستلم عن المبلغ المطلوب، مع خيارات تتراوح من 100 إلى 50 ألف دولار.
ثم يتدرج تدريجيًا إلى طلب معلومات أساسية مثل الاسم والبريد الإلكتروني ورقم الهاتف، والتي تبدو طبيعية لأي طلب قرض.
يواصل الاستبيان طلب معلومات حول ملكية المنزل، وامتلاك السيارات، وتفاصيل صاحب العمل، ومعلومات الدخل، مع الحفاظ على واجهة الشرعية طوال هذه المرحلة.
ومع ذلك، يصبح الهدف الحقيقي واضحًا في المراحل النهائية عندما يطلب النموذج معلومات مصرفية كاملة. يُطلب من الضحايا تقديم أرقام التوجيه وأرقام الحسابات وتفاصيل حساسة أخرى تحت ستار إيداع أموال القرض.
بعد الإرسال، يتم إعادة توجيه المستخدمين إلى مواقع احتيالية إضافية مثل thepersonalfinanceguide.com، والتي تطالب بنفس المعلومات مرة أخرى وتعرض الضحايا لبريد عشوائي لا ينتهي لعروض القروض.
يعد نمط التسليم هذا قياسيًا في أنظمة سرقة الهوية المصممة لزيادة التقاط البيانات وتحقيق الدخل عبر منصات احتيالية متعددة.
تابعنا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، اضبط CSN كمصدر مفضل في Google.