حذرت "كاسبر سكاي" من حملة تصيد احتيالي جديدة تستهدف مستخدمي تطبيق واتس آب، ينفذها المجرمون باستغلال تصويت وهمي لخداع المستخدمين.
وقالت الشركة إن هذا الهجوم يستدرج الضحايا بصفحة تصويت تزعم أنها تضم رياضيين شباب، فيما تستخدم مواضيع أخرى للتصويت والاحتيال على الضحايا.
ويستطيع المجرمون، وفق "كاسبر سكاي"، تعديل هذه الطريقة لتناسب سيناريوهات هجوم مختلفة، مع ذلك، يبقى هدفهم الرئيسي هو اختراق حسابات واتساب والاستيلاء عليها.
وتنطلق عملية الاحتيال بتوجيه المستخدمين إلى صفحة ويب تبدو شرعية تماماً، وتروج لمسابقة تصويت وهمية.
قد تعرض هذه الصفحة، على سبيل المثال، صورًا لرياضيين مع زر مخصص "للتصويت" وعدادات رقمية تعرض نتائج التصويت الفورية، وإجمالي الأصوات المزعومة، وعدد المستخدمين المشاركين.
وأوضحت: "هذه العناصر الوهمية كلها تبث في نفوس الضحايا شعوراً مخادعاً بالمصداقية، فيتشجعون على التفاعل والتصويت".
وتروّج الصفحة بشكل مضلل لإمكانية مشاركة جميع الأشخاص بمجرد إتمام "التحقق والمصادقة"، مع وعود بجوائز عديدة من "جهات راعية" غير حقيقية.
وبمجرد أن ينقر المستخدمون على زر التصويت أو التحقق والمصادقة، يعاد توجيههم فوراً إلى صفحة ويب احتيالية تحثهم على الموافقة بسرعة وسهولة عبر "واتس آب".
ويُطلب من المستخدمين إدخال رقم هاتفهم المحمول المستخدم في حساب واتس آب. ويستغل المجرمون ميزة واتس آب لتسجيل الدخول إلى واجهة التطبيق باستخدام رمز لمرة واحدة؛ إذ يدخلون رقم هاتف الضحية لتسجيل الدخول إلى واتس آب ويب، فيرسل النظام رمز تحقق من 6 أرقام يحاكيه الموقع الاحتيالي.
وبذلك، ما إن يُدخل المستخدم الرمز في هاتفه الذكي، حتى تُفعّل جلسة الويب التي أطلقها المهاجمون، مما يتيح لهم التجسس على الضحية، وكتابة الرسائل، والسيطرة الكاملة على حسابه بالكامل.
وعلقت "كاسبر سكاي": "نرى حالياً رواجاً كبيراً لمسابقات التصويت الإلكترونية، لذلك يوظفها المجرمون السيبرانيون في عملياتهم مستغلين ثقة المستخدمين بهذا النشاط غير الخبيث في ظاهره".
وبيّنت: "ويعتمد المجرمون على أساليب الهندسة الاجتماعية وواجهات المواقع الزائفة والمقنعة لخداع الضحايا، ويستغلون تفاعلاتهم لسرقة بيانات حساسة. لذلك فإنّ الوعي والحذر عاملان مهمان للمحافظة على الأمان".
وأوصت الشركة باتباع النصائح التالية للحماية من عمليات الاحتيال وسرقة الحسابات:
- تفعيل التحقق بخطوتين
فعّل ميزة التحقق بخطوتين في واتساب لإضافة طبقة أمان إضافية، فيستلزم الأمر رقم تعريف شخصي (PIN) للوصول إلى الحساب.
- التحقق دوماً من شرعية الموقع الإلكتروني
امتنع كلياً عن إدخال معلوماتك الشخصية في مواقع إلكترونية غير معروفة، لا سيما المواقع التي تتصفحها انطلاقاً من روابط غير مرغوب فيها. وتحقق دوماً من صحة عنوان الرابط الإلكتروني.
- الامتناع عن مشاركة رموز التحقق
لن يطلب تطبيق واتساب رمز التحقق منك بتاتاً. لذلك امتنع عن مشاركته مع الجميع، ولا تقبله من أحدهم، حتى لو أتى من مصدر موثوق.
