يستغل مجرمو الإنترنت العلامات التجارية للمكاتب المنزلية في أحد الأوقات المحددة حديثًا حملة التصيد يستهدف حاملي حاملي ترخيص المهاجرين في المملكة المتحدة المشاركة في الحكومة نظام إدارة الرعاية (رسالة قصيرة).
تم تصميم الرسائل القصيرة لأصحاب العمل الذين يرعون التأشيرات في فئات العمال وفئات العمال المؤقتة ، والمؤسسات التي ترعى التأشيرات في فئات الطلاب والطفل. يتم استخدامه في المقام الأول لإدارة إنشاء وتخصيص شهادات الرعاية للموظفين أو الطلاب المحتملين ، والإبلاغ عن تغييرات في الظروف للمهاجرين المدعوين.
الجهات الفاعلة غير المحددة وراء الحملة ، والتي حددها سامانثا كلارك ، وهويوت مينداهون ونيت غوبتا من فريق أبحاث التهديدات في أخصائي أخصائي أمن البريد الإلكتروني ، يبدو في المقام الأول أن تسعى إلى تسوية بيانات الاعتماد للاستغلال المالي وسرقة البيانات.
وقال الفريق: “تمثل هذه الحملة تهديدًا كبيرًا لنظام الهجرة في المملكة المتحدة ، حيث يسعى المهاجمون إلى تسوية الوصول إلى نظام إدارة الرعاية لاستغلال مالي وبيانات واسع النطاق”.
“تنشر الممثلون التهديدون رسائل البريد الإلكتروني الاحتيالية التي تنتحل من الاتصالات الرسمية لمكتب المنازل ، والتي يتم إرسالها عادةً إلى عناوين البريد الإلكتروني التنظيمية العامة مع تحذيرات عاجلة بشأن مشكلات الامتثال أو تعليق الحساب. تحتوي هذه الرسائل على روابط خبيثة تعيد توجيه المستفيدين إلى إقناع صفحات تسجيل الدخول إلى الرسائل القصيرة المزيفة المصممة لتجنب معرفات المستخدمين وكلمات المرور.”
تبدأ الحملة المنهجية برسائل البريد الإلكتروني المخادعة التي ستظهر للوهلة الأولى للهدف لتقليد الإخطار الأصلي للمكتب المنزلي بشكل وثيق. تقدم هذه الرسائل كإشعارات عاجلة أو تنبيهات النظام التي تتطلب اهتمامًا سريعًا ، ولكن في الواقع ، يوجه المستخدمون الموجهين لصفحات تسجيل الدخول المزيفة لالتقاط بيانات اعتماد SMS للضحايا.
وجد تحليل فني أعمق من قبل فريق Mimecast أن الجناة يستخدمون عناوين URL ذات بوابات Captcha كآلية تصفية أولية ، تليها إعادة التوجيه إلى صفحات التصيد التي تسيطر عليها المهاجم ، واستنساخ مباشر لعملية التقديم الأصلية-كاملة مع HTML المُشورة ، وروابط إلى أصول الحكومة البريطانية الرسمية والتغيرات الحاسمة في مجال النموذج.
وقال الفريق: “تُظهر الجهات الفاعلة للتهديد الفهم المتقدم لأنماط الاتصال الحكومية وتوقعات المستخدمين في نظام الهجرة في المملكة المتحدة”.
ما هو هدف هجوم التصيد؟
يبدو أن الهدف من هجوم التصيد ذو شقين ، حيث يستهدف كلتا المنظمتين ترعى بشكل شرعي للمهاجرين إلى المملكة المتحدة ، والمهاجرين أنفسهم.
قال فريق Mimecast ، بمجرد أن يعرضوا للخطر أوراق اعتماد ضحاياهم الرسائل القصيرة ، يتبع المهاجمون أهدافًا متعددة من الدخل المختلفة. من بين هذه الأشياء ، يبدو أن بيع الحسابات المعرضة للخطر في منتديات الويب المظلمة لتسهيل إصدار شهادات الرعاية المزيفة (COS) ، وإجراء هجمات الابتزاز على المنظمات نفسها.
ومع ذلك ، فإن شارع الاستغلال الأكثر ربحية – وربما أكثر ربحية – يتضمن إنشاء عروض عمل وهمية ومخططات رعاية التأشيرة.
يدرك الكمبيوتر أسبوعيًا أن بعض ضحايا مجرى النهر الذين يسعون إلى الانتقال إلى المملكة المتحدة قد تعرضوا للاحتيال على ما يصل إلى 20.000 جنيه إسترليني من قبل مجرمي الإنترنت من أجل التأشيرات وعروض الوظائف التي تبدو مشروعة لا تتحقق أبدًا.
الخطوات التالية
بالنسبة لعملاء Mimecast الذين قد يكونون في خطر من حملة التصيد هذه ، قامت الشركة بالفعل بتنفيذ إمكانات شاملة للكشف مما يتيح منصة أمان البريد الإلكتروني الخاصة بها اكتشاف وحظر رسائل البريد الإلكتروني الواردة المرتبطة بها ، وتستمر في مراقبة أي تطورات.
بشكل عام ، يجب أن تفكر المؤسسات التي تستخدم خدمة الرسائل القصيرة في اتخاذ الخطوات التالية:
- نشر إمكانيات أمان البريد الإلكتروني للكشف عن انتحال شخصية الحكومة وأنماط URL المشبوهة ، وتنفيذ إعادة كتابة عنوان URL وعلبة الرمل لتحليل الروابط قبل تفاعل المستخدم.
- قم بإنشاء مصادقة متعددة العوامل وفرضها (MFA) على وصول الرسائل القصيرة ، وتدوير بيانات الاعتماد هذه بشكل متكرر ومراقبة حسابات الرسائل القصيرة لأنماط الوصول الغريبة أو مواقع تسجيل الدخول التي لا تضيف.
- إشراك أولئك الذين يتمتعون بالوصول إلى الاتصالات الأصلية للمكتب المنزلي ومجالات البريد الإلكتروني الرسمية ، مع التأكيد على أهمية التحقق من الإخطارات العاجلة قبل اتخاذ إجراء ، إلى جانب التدريب العام على الوعي والمحاكاة.
- قم بإعداد إجراءات التحقق للاتصالات المتعلقة بالرسائل النصية القصيرة ، ودمج تسوية الرسائل القصيرة في بروتوكولات الاستجابة للحوادث ، وحيثما أمكن ، تفصل واجبات الرسائل القصيرة لدرء سيناريوهات النقطة الواحدة.
تم الاتصال بالوزارة الداخلية للتعليق.
