حدد باحثي الأمن السيبراني التطبيقات الضارة المستخدمة لسرقة بيانات الاعتماد المصرفية من عملاء ثمانية بنوك ماليزية. شارك الخبراء تفاصيل هذا الخداع بطريقة وقائية حيث يمكن تكرار هذه التقنية في جميع أنحاء العالم.
يحاول مجرمو الإنترنت سرقة التفاصيل المصرفية باستخدام مواقع ويب مزيفة تشكل خدمات شرعية. عادة ما يستخدمون أسماء النطاقات التي تشبه إلى حد كبير الخدمات الرسمية وحتى نسخ مباشرة تصميم الموقع الأصلي للذهاب دون أن يلاحظها أحد، يشرحون من Eset.
تم تحديد هذه الحملة لأول مرة في نهاية عام 2021. في ذلك الوقت، انتحل المتسللون شخصية خدمة تنظيف Maid4u الشرعية. تم توزيع الخدعة من خلال إعلانات Facebook، حيث يُطلب من الضحايا المحتملين تنزيل التطبيق، الذي يحتوي بالفعل على محتوى ضار.
في يناير 2022، شارك MalwareHunterTeam معلومات حول ثلاثة مواقع ضارة أخرى وأحصنة طروادة Android المنسوبة إلى هذه الحملة. بالإضافة إلى ذلك، وجد باحثو Eset أربعة مواقع ويب مزيفة أخرى. المواقع السبعة انتحلت الخدمات التي لا تتوفر إلا في ماليزيا: ستة منها تقدم خدمات التنظيف، مثل Grabmaid، Maria's Cleaning، Maid4u، YourMaid، Maideasy و MaidaCall، في حين أن السابع هو متجر للحيوانات الأليفة يسمى بيتسمور.
لا توفر هذه المواقع المزيفة خيار الشراء مباشرة من خلالها. بدلاً من ذلك، تتضمن روابط لتطبيقات يُفترض تنزيلها من Google Play. من خلال النقر على هذه الروابط، لا تتم إحالة المستخدم فعليًا إلى متجر Google الرسمي ولكن إلى الخوادم التي يسيطر عليها مجرمو الإنترنت.
«لكي يكون هذا الهجوم ناجحًا، يتطلب هذا الهجوم من الضحايا تمكين خيار» تثبيت التطبيقات غير المعروفة «على أجهزتهم، والذي يتم تعطيله افتراضيًا. من الجدير بالذكر أن خمسة من الإصدارات السبعة الشرعية لهذه الخدمات لا تحتوي حتى على تطبيق متاح على Google Play»، قال كاميلو جوتيريز أمايا، رئيس مختبر الأبحاث في Eset أمريكا اللاتينية.
لتظهر شرعية، تطلب التطبيقات من المستخدمين تسجيل الدخول بمجرد فتحها. يأخذ البرنامج أي مدخلات من المستخدم ويعلن دائمًا أنه صحيح. مع الحفاظ على مظهر متجر حقيقي عبر الإنترنت، تهدف التطبيقات الضارة إلى تقديم منتجات وخدمات للشراء باستخدام واجهة مشابهة لتلك الموجودة في المتاجر الأصلية.
عندما يحين وقت الدفع مقابل الشراء، يتم تقديم خيارين للدفع للضحايا: يمكنهم الدفع عن طريق بطاقة الائتمان أو عن طريق التحويل المصرفي.
وبالتالي، يحصل المهاجمون على أوراق اعتماد البنك لضحاياهم. بعد اختيار خيار التحويل المباشر, يتم تقديم صفحة دفع FPX مزيفة للضحايا ويطلب منهم اختيار بنك من ثمانية خيارات مصرفية ماليزية ثم إدخال بيانات اعتمادهم. البنوك التي تستهدفها هذه الحملة الخبيثة هي مايبانك، أفين بنك، بنك بيرهاد العام، بنك CIMB، BSN، RHB، بنك إسلام ماليزيا وبنك هونغ ليونغ.
بعد أن يرسل الضحايا بيانات اعتمادهم المصرفية، يتلقون رسالة خطأ تخبرهم بأن اسم المستخدم أو كلمة المرور التي قدموها غير صالحة. في هذه المرحلة، تم بالفعل إرسال بيانات الاعتماد التي تم إدخالها إلى مشغلي البرامج الضارة.
للتأكد من أن المشغلين وراء هذه الحملة قادرون على الوصول إلى الحسابات المصرفية لضحاياهم، تقوم تطبيقات المتاجر المزيفة عبر الإنترنت أيضًا بتوجيه جميع رسائل SMS التي يتلقاها الضحية للمهاجمين في حالة احتواء أي من هذه الرسائل على رمز المصادقة المكون من خطوتين (2FA) الذي أرسله البنك.
وفقًا لفريق البحث، حتى الآن، كانت حملة البرامج الضارة هذه تستهدف ماليزيا فقط: كل من المتاجر عبر الإنترنت التي تم انتحال هويتها، والبنوك المستهدفة لسرقة بيانات اعتماد العملاء، هي من ماليزيا، وتظهر أسعار التطبيقات بالعملة المحلية، الرينجت الماليزي.
للحماية من هذه الأنواع من التهديدات، يجب عليك القيام بما يلي:
1. أدخل مواقع الويب الشرعية فقط. لا تدخل من الروابط التي يتم استلامها أو عرضها على الشبكات لأنه يمكن إعادة توجيهك إلى صفحة مزيفة
2. كن حذرًا عند النقر على الإعلانات وعدم اتباع النتائج التي تقدمها محركات البحث المدفوعة، لأنها قد لا تؤدي إلى الموقع الرسمي.
3. انتبه إلى مصدر التطبيقات التي تقوم بتنزيلها. تأكد من إعادة توجيهك إلى متجر Google Play عندما تحصل على تطبيق.
4. قم بتمكين التحقق من خطوتين، كلما أمكن ذلك. تشرح هذه الملاحظة كيفية القيام بذلك بالتفصيل، سواء في البريد الإلكتروني والشبكات الاجتماعية والحسابات الأخرى.
بدلاً من أخذ الرسائل القصيرة كعامل ثانٍ، يُنصح باختيار استخدام الرموز التي تأتي من خلال تطبيقات مثل Google Authenticator أو المفاتيح الفعلية.
5. حافظ على تحديث البرنامج.
6. استخدم حل الأمان.
استمر في القراءة: