تصيد احتيالي جديد يستهدف حسابات TikTok للأعمال ويتجاوز حماية Cloudflare
كشف باحثون في الأمن السيبراني عن حملة تصيد احتيالي إلكتروني متطورة تستهدف حسابات TikTok for Business باستخدام تقنية Adversary-in-the-Middle (AitM)، في محاولة للسيطرة على حسابات الشركات واستغلالها في نشر الإعلانات الخبيثة وتوزيع البرمجيات الضارة.
ووفقًا لتقرير نشرته شركة Push Security، يعتمد المهاجمون على صفحات تصيد مزيفة مصممة بعناية لخداع المستخدمين وسرقة بيانات تسجيل الدخول الخاصة بحساباتهم التجارية على تيك توك.
كيف تبدأ عملية الاختراق؟
تبدأ الحملة بإرسال روابط خبيثة إلى الضحايا تقودهم إلى صفحات مزيفة، إما:
- صفحة تنتحل هوية منصة TikTok for Business
- أو صفحة توظيف مزيفة تقلد Google Careers وتعرض فرصة عمل مع خيار حجز مكالمة لمناقشة العرض.
وبمجرد دخول الضحية إلى الصفحة، يتم إجباره على اجتياز اختبار Cloudflare Turnstile الذي يُستخدم عادة لمنع الروبوتات، لكن في هذه الحالة يتم استغلاله لمنع أدوات التحليل الأمني من اكتشاف صفحة التصيد.
سرقة بيانات تسجيل الدخول
بعد اجتياز التحقق، يتم عرض صفحة تسجيل دخول مزيفة تستخدم تقنية AitM، حيث تعمل كوسيط بين المستخدم والموقع الحقيقي، مما يسمح للمهاجمين بسرقة:
- بيانات تسجيل الدخول
- ملفات تعريف الجلسة (Session Cookies)
- معلومات الحساب
وهو ما قد يمنحهم القدرة على الوصول الكامل إلى حسابات الشركات على المنصة.
نطاقات التصيد الاحتيالي المستخدمة في الحملة
رصد الباحثون عدة نطاقات تُستخدم لاستضافة صفحات التصيد، من بينها:
- welcome.careerscrews[.]com
- welcome.careerstaffer[.]com
- welcome.careersworkflow[.]com
- welcome.careerstransform[.]com
- welcome.careersupskill[.]com
- welcome.careerssuccess[.]com
- welcome.careersstaffgrid[.]com
- welcome.careersprogress[.]com
- welcome.careersgrower[.]com
- welcome.careersengage[.]com
حملة أخرى تستخدم ملفات SVG لنشر البرمجيات الخبيثة
وفي سياق متصل، كشف تقرير آخر عن حملة تصيد تستهدف مستخدمين في فنزويلا باستخدام مرفقات بريد إلكتروني بصيغة SVG.
وتأتي هذه الملفات بأسماء باللغة الإسبانية توحي بأنها:
- فواتير
- إيصالات
- عروض ميزانية
لكن عند فتح الملف يتم الاتصال بعنوان URL يقوم بتنزيل برمجية خبيثة مكتوبة بلغة Go، ويعتقد أنها مرتبطة ببرمجية الفدية BianLian.
كما يستخدم المهاجمون خدمة ja.cat لاختصار الروابط وإخفاء الوجهة الحقيقية لعملية التحميل.
تحذيرات أمنية
أكد خبراء الأمن السيبراني أن هذه الحملة تبرز خطورة الاعتماد على الروابط الواردة عبر البريد أو الرسائل دون التحقق منها.
وينصح المختصون المستخدمين بما يلي:
- تجنب تسجيل الدخول عبر الروابط المشبوهة
- التحقق من عنوان الموقع قبل إدخال بيانات الحساب
- استخدام المصادقة الثنائية لحماية الحسابات.
اقرا ايضا:
- ثغرة أمنية جديدة في نظام الإبلاغ عن أخطاء ويندوز تسمح للمهاجمين بالتصعيد للحصول على صلاحيات SYSTEM الكاملة
- حماية البيانات الشخصية: دليل شامل لحماية خصوصيتك وأمانك الرقمي
- كيف تحمي بياناتك الشخصية على الإنترنت؟
