تقنية تصيد احتيالي جديدة تستغل منصة رائدة لتطوير الويب بالذكاء الاصطناعي

كشفت كاسبرسكي أن المجرمين السيبرانيين بدأوا باستغلال منصة Tencent EdgeOne Pages، المخصصة لإنشاء تطبيقات الويب واستضافتها، لتنفيذ هجماتهم. حيث يقومون من خلالها بإنشاء رسائل بريدإلكتروني تصيدية تستهدف المستخدمين من الشركات. وقد سبقلكاسبرسكي أن رصدت هجمات مشابهة استغلت خدمات جوجل، بالإضافة إلى تطبيقات تم إنشاؤها عبر Bubble، وهي منصة لتطوير التطبيقات مدعومة بالذكاء الاصطناعي، وذلك بهدف سرقة بيانات الاعتماد الخاصة بالشركات.

يستهدف هذا الهجوم الموظفين في قطاعات مختلفة، مثل القطاع الصناعي، والمبيعات، والقطاع الحكومي. حيث يهدف إلى الاستحواذ على بيانات الاعتماد الخاصة بالأنظمة المؤسسية. وخلال آخر 30 يوماً، رصد الخبراء في الشركة أكثر من 8 آلاف رسالة تصيّد احتيالي تستخدم هذا الأسلوب، وتضمنت رسائل مكتوبة باللغات الإنجليزية، والكورية، والروسية.

تُعد Tencent EdgeOne Pages منصة مخصصة لإنشاء تطبيقات الويب ونشرها بسرعة بالاعتماد على الذكاء الاصطناعي. وقد بات المهاجمون يستغلون هذه الإمكانيات لإنشاء صفحات تصيّد إلكتروني ونشرها في غضون دقائق، دون الحاجة إلى خبرات متخصصة في تطوير المواقع.

وتُستضاف تلك الصفحات التصيدية على البنية التحتية السحابية الموثوقة التابعة للخدمة. ومع استخدام نطاقات موثوقة، تبدو هذه الصفحات للأنظمة الأمنية وكأنها مواقع آمنة ومعروفة، وهذا الأمر يصعّب عملية رصد الهجمات.

كيف يبدأ الهجوم؟

يستلم المستخدم رسالة بريد إلكتروني تبدو وكأنها صادرة عن «فريق دعم البريد الإلكتروني الخاص بالشركة». وتذكر الرسالة أن بيانات تسجيل الدخول الخاصة بالحساب ستنتهي خلال 48 ساعة، وأن عدم تحديثها قد يؤدي إلى تعطيل إرسال الرسائل أو استقبالها. ولتفادي أي تقييد، يُطلب من المستخدم الضغط على رابط وإدخال البيانات اللازمة. ولا يقتصر هذا النوع من رسائل التصيّد على هذا الأسلوب فقط؛ إذ يمكن أن يتخذ أشكالاً متعددة مثل رسالة رسمية من قسم الموارد البشرية أو إشعار بوثيقة واردة يلزمتحميلها.

وعند الضغط على الرابط، يتم توجيه الضحية إلى صفحة تحتوي على نموذج يطلب من الضحية إدخال الاسم، والبريد الإلكتروني، وكلمة المرور. وتتميز الصفحة بتصميم بسيط للغاية وخالٍ تقريباً من أي عناصر بصرية إضافية.

صفحة صممها المهاجمون بهدف جمع بيانات الاعتماد الخاصة بالمستخدمين

وبعد إدخال المستخدم لبياناته مثل اسم المستخدم وكلمة المرور، يتم إرسالها إلى خادم يقع تحت سيطرة المهاجمين.

ويعلق رومان ديدينوك، خبير مكافحة البريد العشوائي لدى كاسبرسكي، قائلاً: «نشهد استمراراً لتوجه يستخدم فيه المهاجمون أدوات الذكاء الاصطناعي ومنصات التطوير دون الحاجة إلى البرمجة ضمن منظومة التصيّد الخاصة بهم. ولقد لاحظنا سابقاً أسلوباً مشابهاً باستخدام منصة Bubble، والآن يظهر مثال آخر مشابه. ومع أن الرسائل المستخدمة في هذه الهجمات ليست جديدة وتم توظيفها عدة مرات من قبل، إلا أن هذه التقنيةالجديدة تقلل بشكل كبير من العوائق أمام المهاجمين وتُسرّع إنشاء البنية التحتية للهجمات. ففي السابق كان يتطلب ذلك مهارات في تطوير المواقع الإلكترونية، أما الآن فأصبح بالإمكان إعداد منظومة احتيالية كاملة خلال دقائق.»