رصدت كاسبرسكي حملة تصيد احتيالي جديدة تستهدف مستخدمي تطبيق واتساب، وينفذها المجرمون باستغلال تصويت وهمي لخداع المستخدمين. ويستدرج هذا الهجوم الضحايا بصفحة تصويت تزعم أنها تضم رياضيين شباب، فيما تستخدم مواضيع أخرى للتصويت والاحتيال على الضحايا. ويستطيع المجرمون تعديل هذه الطريقة لتناسب سيناريوهات هجوم مختلفة، مع ذلك، يبقى هدفهم الرئيسي هو اختراق حسابات واتساب والاستيلاء عليها.
تنطلق عملية الاحتيال بتوجيه المستخدمين إلى صفحة ويب تبدو شرعية تماماً، وتروج لمسابقة تصويت وهمية. قد تعرض هذه الصفحة، على سبيل المثال، صورًا لرياضيين مع زر مخصص «للتصويت» وعدادات رقمية تعرض نتائج التصويت الفورية، وإجمالي الأصوات المزعومة، وعدد المستخدمين المشاركين. فهذه العناصر الوهمية كلها تبث في نفوس الضحايا شعوراً مخادعاً بالمصداقية، فيتشجعون على التفاعل والتصويت. وتروّج الصفحة بشكل مضلل لإمكانية مشاركة جميع الأشخاص بمجرد إتمام “التحقق والمصادقة”، مع وعود بجوائز عديدة من “جهات راعية” غير حقيقية.
بمجرد أن ينقر المستخدمون على زر «التصويت» أو «التحقق والمصادقة»، يعاد توجيههم فوراً إلى صفحة ويب احتيالية تحثهم على الموافقة «بسرعة وسهولة» عبر واتساب. ويُطلب من المستخدمين إدخال رقم هاتفهم المحمول المستخدم في حساب واتساب. ويستغل المجرمون ميزة واتساب لتسجيل الدخول إلى واجهة التطبيق باستخدام رمز لمرة واحدة؛ إذ يدخلون رقم هاتف الضحية لتسجيل الدخول إلى واتساب ويب، فيرسل النظام رمز تحقق من 6 أرقام يحاكيه الموقع الاحتيالي. وبذلك، ما إن يُدخل المستخدم الرمز في هاتفه الذكي، حتى تُفعّل جلسة الويب التي أطلقها المهاجمون، مما يتيح لهم التجسس على الضحية، وكتابة الرسائل، والسيطرة الكاملة على حسابه بالكامل.
تعلق على هذه المسألة «تاتيانا شيرباكوفا»، محللة محتوى الويب لدى كاسبرسكي: «نرى حالياً رواجاً كبيراً لمسابقات التصويت الإلكترونية، لذلك يوظفها المجرمون السيبرانييون في عملياتهم مستغلين ثقة المستخدمين بهذا النشاط غير الخبيث في ظاهره. ويعتمد المجرمون على أساليب الهندسة الاجتماعية وواجهات المواقع الزائفة والمقنعة لخداع الضحايا، ويستغلون تفاعلاتهم لسرقة بيانات حساسة. لذلك فإنّ الوعي والحذر عاملان مهمان للمحافظة على الأمان».
توصيكم كاسبرسكي باتباع النصائح التالية للحماية من عمليات الاحتيال وسرقة الحسابات:
- تفعيل التحقق بخطوتين: فعّل ميزة التحقق بخطوتين في واتساب لإضافة طبقة أمان إضافية، فيستلزم الأمر رقم تعريف شخصي (PIN) للوصول إلى الحساب.
- التحقق دوماً من شرعية الموقع الإلكتروني: امتنع كلياً عن إدخال معلوماتك الشخصية في مواقع إلكترونية غير معروفة، لا سيما المواقع التي تتصفحها انطلاقاً من روابط غير مرغوب فيها. وتحقق دوماً من صحة عنوان الرابط الإلكتروني.
- الامتناع عن مشاركة رموز التحقق: لن يطلب تطبيق واتساب رمز التحقق منك بتاتاً. لذلك امتنع عن مشاركته مع الجميع، ولا تقبله من أحدهم، حتى لو أتى من مصدر موثوق.
- استخدم حلاً أمنياً موثوقاً ومجرباً للكشف عن المواقع والروابط الخبيثة وحظرها.
