لا ترسل حملة التصيد الاحتيالي رسائل بريد إلكتروني إلى الجمهور العام على أمل استهداف عدد قليل من الضحايا، ولكنها تركز عادةً على منظمة معينة من أجل ربط الأفراد بالتخلي عن معلومات سرية مثل البيانات العسكرية أو التجارة أسرار. يبدو أن رسائل البريد الإلكتروني مستمدة من مصدر موثوق به، وتحتوي على رابط إلى صفحة ويب زائفة موبوءة بالبرامج الضارة أو ملف يقوم بتنزيل برامج ضارة.
مقاطع الفيديو الموصى بها
تقول Proofpoint أن المعلومات التي يستخدمها TA530 يمكن جمعها من المواقع العامة مثل موقع الشركة الإلكتروني، LinkedIn، وما إلى ذلك. إنه يستهدف ما يصل إلى عشرات الآلاف من الأفراد الموجودين في مؤسسات مقرها في الولايات المتحدة والمملكة المتحدة وأستراليا. تعتبر الهجمات أكبر من حملات التصيد الاحتيالي الأخرى، لكنها لم تقترب بعد من حجمها
دريديكس و لوكي.يستهدف TA530 في الغالب الخدمات المالية، تليها المؤسسات في مجال البيع بالتجزئة والتصنيع والرعاية الصحية والتعليم وخدمات الأعمال. تتأثر أيضًا المؤسسات التي تركز على التكنولوجيا إلى جانب شركات التأمين وخدمات المرافق والشركات العاملة في مجال الترفيه والإعلام. النقل هو الأدنى في قائمة الأهداف.
يحمل TA530 عددًا من عمليات التحميل في ترسانته، بما في ذلك حصان طروادة المصرفي، وحصان طروادة الاستطلاعي لنقاط البيع، وبرنامج التنزيل، وبرامج فدية تشفير الملفات، وشبكة روبوتات طروادة المصرفية، والمزيد. على سبيل المثال، يتم استخدام حصان طروادة الاستطلاعي لنقاط البيع في الغالب في حملة ضد شركات البيع بالتجزئة والضيافة والخدمات المالية. تم تكوين حصان طروادة المصرفي لمهاجمة البنوك الموجودة في جميع أنحاء أستراليا.
في نموذج البريد الإلكتروني المقدم في التقرير، يوضح Proofpoint أن TA530 يحاول إصابة مدير إحدى شركات البيع بالتجزئة. تتضمن هذه الرسالة الإلكترونية اسم الهدف واسم الشركة ورقم الهاتف. تطلب الرسالة من المدير ملء تقرير يتعلق بحادث وقع في أحد مواقع البيع بالتجزئة الفعلية. يقوم المدير بفتح المستند، وإذا تم تمكين وحدات الماكرو، فسوف يصيب جهاز الكمبيوتر الخاص به عن طريق تنزيل حصان طروادة الخاص بنقطة البيع.
في الحالات القليلة التي قدمتها Proofpoint، يتلقى الأفراد المستهدفون مستندًا مصابًا بالرغم من ذلك تنص شركة الأمان على أن رسائل البريد الإلكتروني هذه يمكن أن تحتوي أيضًا على روابط ضارة وجافا سكريبت مرفقة أدوات التنزيل. وقد شهدت الشركة أيضًا بعض رسائل البريد الإلكتروني في الحملات المستندة إلى TA530 والتي لم تكن مخصصة، ولكنها لا تزال تحمل نفس العواقب.
وتقول الشركة: "استنادًا إلى ما رأيناه في هذه الأمثلة من TA530، نتوقع أن يستمر هذا الممثل في استخدام التخصيص وتنويع الحمولات وطرق التسليم". "يشير تنوع الحمولات وطبيعتها إلى أن TA530 تقوم بتسليم الحمولات نيابة عن جهات فاعلة أخرى. إن تخصيص رسائل البريد الإلكتروني ليس بالأمر الجديد، ولكن يبدو أن هذا الممثل قد قام بدمج وأتمتة مستوى عالٍ من التخصيص، لم يسبق له مثيل بهذا النطاق، في حملات البريد العشوائي الخاصة به.
لسوء الحظ، تعتقد Proofpoint أن تقنية التخصيص هذه لا تقتصر على TA530، ولكن سيتم استخدامها في النهاية من قبل المتسللين عندما يتعلمون سحب معلومات الشركة من المواقع العامة مثل LinkedIn. الجواب على هذه المشكلة، وفقًا لـ Proofpoint، هو تعليم المستخدم النهائي والبريد الإلكتروني الآمن بوابة.
توصيات المحررين
- قد تؤدي رسائل البريد الإلكتروني التصيدية الجديدة الخاصة بفيروس كورونا المستجد (كوفيد-19) إلى سرقة أسرار عملك
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.