كشفت شركة Palo Alto Networks عن حملة تصيد احتيالي ضخمة تديرها جهة تهديد ناطقة بالصينية تعرف باسم Smishing Triad، استخدمت أكثر من 194 ألف نطاق خبيث منذ مطلع عام 2024 لاستهداف مستخدمين حول العالم عبر رسائل نصية مزيفة.
وأوضحت الشركة أن هذه الحملة، التي بدأت في أبريل 2024، تستهدف مستخدمي خدمات حيوية ومنصات مالية وتطبيقات دفع إلكتروني وخدمات حكومية، إضافة إلى شركات البريد والتوصيل والمنصات الاجتماعية. وتعد من أضخم حملات التصيد عبر الرسائل القصيرة المعروفة حتى الآن من حيث عدد النطاقات وحجم الانتشار.
تنوع واسع في الجهات المنتحلة وأسلوب لامركزي للتخفي
أشارت Palo Alto Networks إلى أن الحملة تتسم بطابع لامركزي بالكامل، إذ تعتمد على بنية استضافة متنوعة تضم آلاف النطاقات المؤقتة. ويسمح هذا الأسلوب للمهاجمين بتبديل النطاقات بوتيرة أسبوعية تقريباً، ما يجعل اكتشافهم وإيقافهم أكثر صعوبة.
وبدأت الشركة تتعقب نشاط الحملة منذ مارس الماضي، حين رصدت أكثر من 10 آلاف نطاق ينتحل خدمات تحصيل رسوم الطرق وشركات توصيل الطرود، ثم توسعت المراقبة لتصل إلى أكثر من 91 ألف نطاق في أبريل، قبل أن تكشف التحقيقات الرقم الأضخم وهو 194 ألف نطاق خبيث نشط منذ بداية العام.
وتستهدف الحملة في المقام الأول مستخدمي الولايات المتحدة، لكنها امتدت إلى دول أخرى من بينها الأرجنتين، وأستراليا، وكندا، وفرنسا، وألمانيا، وإيرلندا، وإسرائيل، وليتوانيا، وماليزيا، والمكسيك، وبولندا، وروسيا، والإمارات، والمملكة المتحدة.
تعرف Smishing Triad بأنها مجموعة تهديد متخصصة في التصيد عبر الرسائل القصيرة، تنشط منذ عام 2023 على الأقل. وتشير Palo Alto Networks إلى أن المجموعة وسعت نطاقها لتشمل أيضاً رسائل iMessage التي تنتحل مؤسسات بريد وطنية مثل India Post.
وفي مطلع هذا العام، تفاخر أعضاء المجموعة عبر قناتهم على Telegram بإطلاق مجموعة أدوات تصيد جديدة تدعى Lighthouse، مصممة لاستهداف مؤسسات مالية غربية وبنوك في أستراليا ومنطقة آسيا والمحيط الهادئ (APAC).
وتعتمد هجمات المجموعة على رسائل نصية مصاغة بأسلوب شخصي ومقنع، توهم المستخدمين بوجود حالة طارئة مثل دفع رسوم أو تأكيد شحنة، لتوجيههم إلى مواقع مزيفة تطلب منهم إدخال بياناتهم الشخصية مثل أرقام الهوية الوطنية أو الضمان الاجتماعي.
بنية منظمة تعتمد نموذج Phishing-as-a-Service
تؤكد التحليلات أن الحملة مدعومة بنموذج Phishing-as-a-Service (PhaaS)، حيث يتعاون عدد من الأطراف في سلسلة إنتاج متكاملة تشمل مطوري أدوات التصيد، وبائعي النطاقات، ومزودي الاستضافة، ومرسلي الرسائل، ومراجعين يتأكدون من صحة أرقام الهواتف والنطاقات النشطة.
وأظهرت البيانات أن 82.6% من النطاقات المستخدمة لم يتجاوز عمرها أسبوعين، بينما استمر أقل من 6% لأكثر من 3 أشهر، في حين أن أغلق نحو 29% منها خلال يومين فقط من التسجيل.
من بين هذه النطاقات، هناك 90 ألفاً انتحلت خدمات طرق ورسوم مرور، وأكثر من 28 ألفاً قلدت الموقع الرسمي لخدمة البريد الأميركية USPS. أما البقية فشملت مواقع مزيفة لشركات إلكترونيات ومؤسسات مالية وجهات حكومية مثل IRS وإدارات المركبات في الولايات الأميركية، إلى جانب تطبيقات مشاركة السيارات وخدمات الضيافة والسحابة الشخصية وألعاب الإنترنت.
تحذيرات للمستخدمين وضرورة التحقق من الروابط
دعت Palo Alto Networks المستخدمين إلى توخي الحذر الشديد عند تلقي رسائل من مصادر مجهولة، مشددة على ضرورة عدم النقر على أي روابط ضمن الرسائل النصية غير الموثوقة، والتحقق من أي طلب عاجل عبر الموقع الرسمي للخدمة أو تطبيقها المعتمد.
وأوضحت الشركة أن التصيد عبر الرسائل القصيرة أصبح من أخطر التهديدات الإلكترونية حالياً، نظراً لسهولة انتشاره وسرعة تبدل هياكله، مؤكدة أن حملات Smishing Triad تمثل نموذجاً متقدماً للهجمات التي توظف الهندسة الاجتماعية بأسلوب ممنهج ومدعوم ببنية تحتية ضخمة.
