تشهد منصة “فيسبوك” ازديادًا ملحوظًا في هجمات التصيد الاحتيالي المتطورة، التي تعتمد على تقنية “المتصفح داخل المتصفح” (BitB) بهدف سرقة معلومات تسجيل الدخول على نطاق واسع.
آلية عمل التقنية:
تعتمد هذه الهجمات على عرض نافذة تسجيل دخول وهمية داخل المتصفح الأصلي للضحية، بحيث تشبه إلى حد كبير صفحة “فيسبوك” الأصلية، بل وتظهر أيضًا بعنوان URL كاملاً للموقع، مما يجعل كشفها أمرًا بالغ الصعوبة.
كيف يتم الهجوم؟
1- يبدأ الهجوم عادةً برسالة بريد إلكتروني احتيالية تتقنع بأنها “إشعار قانوني” من شركة محاماة وهمية.
2- تحتوي هذه الرسالة على روابط مختصرة، وظيفتها توجيه الضحية إلى صفحات كابتشا زائفة تدّعي أنها تابعة لـ”فيسبوك”.
3- بعد أن يجتاز الضحية اختبار الكابتشا الوهمي، يتم عرض صفحة تسجيل الدخول المزيفة لجمع بيانات المستخدم.
أساليب التمويه المتقدمة:
1- يعتمد المهاجمون على منصات سحابية موثوقة، مثل Netlify وVercel، لاستضافة صفحات التصيد الاحتيالي الخاصة بهم.
2- يستخدمون خدمات تقصير الروابط الشائعة، مثل Lnk.ink وrebrand.ly، للتغلب على مرشحات الأمان.
3- يقومون بتصميم صفحات تطلب أولاً معلومات شخصية (الاسم، البريد الإلكتروني، رقم الهاتف) قبل طلب كلمة المرور، وذلك لزيادة إقناع الضحية.
نصائح أساسية لحماية نفسك:
تحقق دائمًا من صحة عنوان URL الظاهر في شريط العنوان قبل إدخال أي معلومات شخصية أو بيانات حساسة.
لا تقم أبدًا بإدخال بيانات اعتمادك عبر نوافذ منبثقة غير متوقعة أو مشبوهة.
قم بتفعيل خاصية المصادقة الثنائية (2FA) على حسابك، فهي توفر حماية إضافية قوية حتى في حال سرقة كلمة المرور الخاصة بك.
على المؤسسات توعية موظفيها بشكل دوري وتطبيق حلول أمنية متقدمة للكشف عن رسائل البريد الإلكتروني الخبيثة وتصفيتها.
