حذّر خبراء كاسبرسكي المستخدمين من التهديد المتنامي المتمثل بالأعداد المتزايدة من رسائل البريد الإلكتروني المخادعة التي تحتوي على ملفات HTML. وحظر باحثو كاسبرسكي بين يناير وإبريل من العام الجاري ما يقرب من مليوني رسالة بريد إلكتروني تصيدية تحتوي على مرفقات من ملفات HTML. ويُعدّ استخدام ملفات HTML في رسائل التصيّد أحد أحدث الحيل الشائعة التي يلجأ إليها المحتالون في محاولاتهم الإيقاع بالمستخدمين. وعادةً ما تكتشف محركات مكافحة البريد الإلكتروني غير المرغوب فيه، أو برمجيات مكافحة الفيروسات، هذه الروابط بسهولة، لكن استخدام مرفقات HTML في رسائل البريد تلك سمح لمجرمي الإنترنت بتجنب انكشافهم.
ولا يدرك الكثير من المستخدمين أن الملفات المرفقة في رسائل البريد الإلكتروني التي تصلهم، ومنها ملفات HTML، قد تكون غير آمنة، لذا فهم يفتحون تلك المرفقات باطمئنان، ليتبيّن أنها أسلحة خطرة وموجهة يستخدمها مجرمو الإنترنت للإيقاع بهم. ويمكن للمحتالين تصميم مرفقات HTML لتبدو متطابقة مع صفحات في مواقع الويب الرسمية لبعض الشركات والخدمات، مستهدفين مستخدمي تلك المواقع لخداع ضحاياهم والإيقاع بهم عبر دفعهم إلى إدخال بيانات حساسة في نموذج خاص ضمن الصفحة الاحتيالية.
مجرمو الإنترنت يستدرجون الضحايا لفتح مرفقات HTML خبيثة، مدّعين أن الملف يكون آمنًا فقط عبر هذا الرابط
وهناك نوعان أساسيان من مرفقات HTML التي يستخدمها مجرمو الإنترنت: ملفات HTML برابط تصيّد، أو صفحات خبيثة كاملة. أما الحالة الأولى، فيرسل فيها المهاجمون إلى المستخدم ملف HTML يحتوي على نص يدّعون أن فيه بيانات مهمة، كإشعار بنكي بشأن محاولة لتحويل مبلغ مالي كبير من حسابه، ويُطلب منه النقر فوق رابط إلى موقع البنك لإيقاف المعاملة، ما يقوده إلى صفحة تصيّد. وفي بعض الحالات، لا تضطر الضحية حتى إلى النقر فوق الرابط، فعندما يحاول المستخدم فتح مرفق HTML، سيوجّهه تلقائيًا إلى صفحة خبيثة، يُطلب منه فيها ملء نموذج بيانات لمراجعة الملفات المتعلقة بالعمل أو، في الحالة المذكورة، حماية حسابه المصرفي من محاولة تحويل المال، أو حتى تلقي مدفوعات حكومية، ليكتشف لاحقًا أن بياناته الشخصية وتفاصيله المصرفية قد سُرقت.
النوع الثاني من مرفقات HTML عبارة عن صفحات تصيّد كاملة، إذ تُعفي هذه الملفات مجرمي الإنترنت من تحمّل رسوم استضافة مواقعهم وتُجنِّبهم استخدام مواقع الويب لأن نموذج التصيّد والبرنامج النصيّ المستخدم لجمع البيانات مُضمَّنين بالكامل في الملف المرفق، الذي يمكن عند استخدامه موقع تصيّد، تخصيصه اعتمادًا على الهدف المقصود وناقل الهجوم المستخدم لكسب ثقة الضحية. وبوسع المحتال، مثلًا، أن يوزع بريدًا إلكترونيًا تصيّديًا بين موظفي شركة ما، بحيث يبدو وكأنه يطلب التحقق من أحد العقود، ولكنه في الواقع ملف HTML خبيث. وتحتوي هذه المرفقات على جميع السمات المرئية لتلك الشركة: شعارها وشكل هويتها المرئية وحتى اسم أحد المسؤولين فيها، باعتباره مرسل رسالة البريد. ويُطلب من الضحية عند فتح الملف إدخال بيانات اعتماد الدخول (اسم المستخدم وكلمة المرور) إلى حساب الشركة، من أجل الوصول إلى المستند، فتقع هذه البيانات مباشرة في أيدي مجرمي الإنترنت الذين يمكنهم استخدامها لاقتحام الشبكة المؤسسية.
مثال على صفحة تصيّد في مرفق HTML
وبينما يمكن أن تحظر حلول الأمن رسائل البريد الإلكتروني المحتوية على مرفقات HTML مع نصوص خبيثة أو روابط تصيّد بنص عادي، بدأ مجرمو الإنترنت في اللجوء إلى أساليب مختلفة لتجنب انكشافهم وحظرهم؛ فيقومون، مثلًا، بتشويه رابط التصيّد أو ملف HTML بأكمله باستخدام شيفرة مشوشة أو غير صحيحة. وبالرغم من أن هذا النصّ غير المهم وغير المتسق لا يظهر على شاشة المستخدم، فإنه يصعّب على محركات مكافحة البريد غير المرغوب فيه اكتشاف البريد الإلكتروني وحظره.
وقال رومان ديدينوك الباحث الأمني لدى كاسبرسكي، إن مجرمي الإنترنت يستخدمون طلبات الحصول على بيانات اعتماد الدخول، بطريقة مخفية بذكاء، لخداع الضحايا الغافلين ودفعهم إلى إدخال اسم المستخدم وكلمة المرور الخاصة بهم. وأضاف: “نحظر في كل عام ملايين صفحات التصيّد التي تتزايد سنويًا، ما يعني أن على المستخدمين توخّي الحذر وإدراك الخطر الذي يمكن أن تنطوي عليه رسائل البريد الإلكتروني. وقد أنشأ مجرمو الإنترنت بُنية تحتية معقدة ومتقدمة تتيح حتى للمحتالين المبتدئين إنشاء آلاف صفحات التصيّد باستخدام قوالب جاهزة، ثم استهداف مجموعة واسعة من المستخدمين. ونظرًا لأن أيّ هاوٍ بات قادرًا الآن على إنشاء صفحة تصيّد خاصة به، فإنه ينبغي للمستخدم أن يكون حذرًا دائمًا، لا سيما عند فتح أي رابط وارد في رسالة بريد إلكتروني أو خدمة مراسلة”.
يمكن الاطلاع على التقرير الكامل حول مرفقات HTML التصيدية في Securelist.
وتوصي كاسبرسكي المستخدمين باتباع التدابير التالية لحماية أنفسهم من محاولات التصيّد:
- التحقق من كل رابط قبل النقر عليه، وذلك بتمرير مؤشر الماوس فوقه لمعاينة عنوان URL، والبحث عن الأخطاء الإملائية أو أية اختلافات أخرى في كتابة العنوان.
- عدم إدخال اسم المستخدم وكلمة المرور في أية صفحة إلا عبر اتصال آمن بالإنترنت، مع الحرص على البحث عن البادئة HTTPS قبل عنوان URL، والتي تشير إلى أن الاتصال بالموقع آمن.
- حتى إذا وردت رسالة غير متوقعة من إحدى جهات الاتصال الموثوق بها، فينبغي التذكر بأن حسابه ربما تعرّض للاختراق، ما يستدعي الحذر في جميع المواقف وفحص جميع الروابط والمرفقات.
- إيلاء الرسائل التي يبدو أنها واردة من مؤسسات رسمية، كالبنوك والجهات الضريبية والمتاجر الإلكترونية ووكالات السفر وشركات الطيران وما إلى ذلك، اهتمامًا خاصًا، يشمل حتى الرسائل الداخلية التي ترد من زملاء العمل، فليس صعبًا على المجرمين اختلاق خطاب مزيف يبدو رسميًا.
- تجنُّب فتح أي ملفات غير متوقعة مرسلة من أصدقاء الألعاب عبر الإنترنت أو رفاق آخرين في منصة رقمية. فقد تحتوي هذه الملفات على برمجيات فدية أو حتى برمجيات تجسّس، تمامًا كالمرفقات الواردة من رسائل البريد الإلكتروني الرسمية.
- تزويد موظفي الشركات بالتدريب على أساسيات الأمن الرقمي، وإجراء عمليات محاكاة لهجوم تصيد، للتأكّد من أن الموظفين يدركون كيفية التمييز بين رسائل البريد الإلكتروني التصيدية والحقيقية.
- استخدام حلّ حماية للنقاط الطرفية وخوادم البريد، يتمتّع بإمكانات مكافحة التصيد، مثل الحلّ Kaspersky Endpoint Security for Business، لتقليل فرص الإصابة عبر رسائل البريد الإلكتروني المخادعة.
- حماية خدمة Microsoft 365 السحابية، في حال استخدامها. ويحتوي الحلّ Kaspersky Security for Microsoft Office 365 على وظيفة مخصّصة لمكافحة البريد الإلكتروني غير المرغوب فيه ومحاولات التصيّد، بالإضافة إلى حماية تطبيقات SharePoint وTeams وOneDrive للحفاظ على أمن الاتصالات المؤسسية.