رسائل البريد الالكتروني: استغلال وهجمات احتياليّة

وجد باحثون في كاسبرسكي نمواً في استخدام أساليب إرسال رسائل البريد الإلكتروني العشوائية غير المرغوب فيها ورسائل التصيدن كما يزداد استغلال مخربي الإنترنت للنّماذج الإلكترونية الخاصّة بالتّسجيل والاشتراك والملحوظات، الموجودة على مواقع الويب، لإدراج محتوى الرسائل العشوائية أو روابط للتصيد في رسائل التأكيد الإلكترونية التي ترد المستخدمين من شركات شهيرة بعد ملء النماذج الإلكترونية على مواقعها.

يواصل المخربون بحثهم عن طرق وأساليب جديدة لإيصال رسائل البريد العشوائي والتصيد إلى المستخدمين، مع الحرص على تجاوز الأدوات والضوابط الخاصة بتصفية المحتوى. ويحاول هؤلاء جعل رسائلهم الإلكترونية التخريبية تأتي من مصدر مشروع يتمتع بسمعة طيبة حتى لا يتجاهلها المستخدمون.

لكن هذا الأمر يخلق في المقابل تحدياً كبيراً للشركات نظراً لأن هذا البريد العشوائي غير المرغوب فيه أو حتى المحتوى الخبيث الذي تشتمل عليه الروابط الواردة في رسائل التصيد، والذي يبدو أنه أرسل نيابة عنها، يمكن أن يلحق ضرراً كبيراً بثقة عملائها أو يؤدي إلى تسريب بياناتهم الشخصية.

 

ويتسم الأسلوب الذي يلجأ إليه المخربون بالسهولة والفعالية، وهو يقوم على اهتمام الشركات بتلقي الملحوظات والإفادات من عملائها لتحسين جودة الخدمة المقدمة للعملاء واستبقائهم فضلاً عن تعزيز سمعتها.

وتطلب الشركات من العملاء تسجيل حساب شخصي لديها أو الاشتراك في نشراتها الإخبارية أو التواصل معها عبر نماذج للإفادات موجودة على مواقعها الرسمية على الويب، لطرح الأسئلة أو ترك الاقتراحات والملحوظات، وهذه هي الآليات التي يستغلها المخربون.

وتتطلب الآليات الثلاث تقديم اسم العميل وعنوان بريده الإلكتروني، حتى يتمكن من تلقي رسالة تأكيد عبر البريد الإلكتروني.

ووفقًا للباحثين في كاسبرسكي، يضيف المحتالون محتوى الرسائل غير المرغوب فيها وروابط التصيد إلى هذا البريد، ويدخلون عنوان البريد الإلكتروني للضحية في نموذج التسجيل أو الاشتراك ليصل البريد إلى ضحيتهم بعد أن يدخلوا الرسالة بدلاً من الاسم.

وعندما ينتهون، فإن الموقع يرسل رسالة التأكيد التي أعدها المخربون بطريقة احتيالية إلى عنوان البريد الإلكتروني الذي أدخلوه للضحية، محتوياً على رابط إعلان أو تصيد في بداية النص بدلاً من اسم المستلم.

وبحسب الباحثة الأمنية لدى كاسبرسكي، ماريا فيرغليز Maria Vergelis فإن معظم هذه الرسائل تعدّل لجعلها مرتبطة بدراسات استقصائيّة تجرى عبر الإنترنت وتكون مصمّمة للحصول على بيانات شخصية مهمة من المستخدمين، وأضافت “عادة ما تمر بسهولة الإشعارات الواردة من مصادر موثوق بها عبر أدوات تصفية المحتوى، لكونها رسائل رسمية صادرة عن شركات معروفة، وهذا هو السبب في أن هذه الطريقة الجديدة لتوزيع البريد الإلكتروني العشوائي غير المرغوب فيه أو المشتمل على محاولات للتصيد، فعالة وباعثة على القلق، حتى وإن بدا البريد في هيئة غير ضارة”.

على ضوء ذلك، تنصح كاسبرسكي الشّركات باعتماد التدابير التالية لضمان الحفاظ على سمعتها:

التحقّق من كيفية عمل نماذج الإفادات على مواقع الويب التابعة لها.

تطبيق العديد من قواعد التحقق التي تستطيع إحداث خطأ في النموذج وتمنع إرساله عند محاولة تسجيل اسم برموز غير مناسبة.

إجراء تقييم للثغرات في موقع الويب، إن أمكن.