في عالم يتزايد فيه الاعتماد على التكنولوجيا، تظهر أدوات جديدة مثل Matrix Push، التي تستغل تنبيهات المتصفح لشن هجمات تصيد احتيالي معقدة. في هذا المقال، نستعرض كيفية عمل هذه الأداة وكيف يمكن للمستخدمين حماية أنفسهم.
لقد أصبح لدى المجرمين الإلكترونيين أداة جديدة سهلة الاستخدام لتحويل تنبيهات المتصفح إلى وسيلة لهجمات التصيد الاحتيالي.
“Matrix Push” أنيقة وجميلة، وسهلة الاستخدام مثل أي برنامج تجاري يمكن أن تفكر فيه. للأسف، هي إطار عمل للتحكم والقيادة (C2) لعدوى الأشخاص بالبرمجيات الخبيثة عبر متصفحاتهم. يصف تقرير جديد من BlackFog كيف يمكن للقراصنة من واجهة ملونة مثل محطة قديمة تصميم تنبيهات يتم دفعها للضحايا من متصفحاتهم الشرعية، ولكنها في الواقع تشير إلى مواقع ضارة.
يمكن للمهاجمين إرسال تحذيرات تسجيل دخول غير عادية لمستخدمي المتصفح تبدو وكأنها قادمة من PayPal، أو تنبيهات أمان تدعي أنها من MetaMask، أو رسائل خطأ مزيفة من Cloudflare. يأتي Matrix Push مزودًا مسبقًا بقوالب للإشعارات وصفحات الهبوط التي تحاكي جميع هذه العلامات التجارية، بالإضافة إلى TikTok وNetflix والمزيد.
ومن خلال لوحة معلومات Matrix Push، يمكن للمهاجمين تتبع مجموعة متنوعة من البيانات المفيدة حول ضحاياهم، مثل العدد الإجمالي الذي تم الوصول إليه، ومكان وجودهم، وعناوين IP الخاصة بهم، وأنواع وإصدارات المتصفحات وأنظمة التشغيل (OS) التي يستخدمونها، وأي محافظ للعملات المشفرة استخدموها، وما إلى ذلك. ونظرًا لأنه في النهاية إطار عمل C2، فإن البرنامج يوفر أيضًا مجموعة متنوعة من المعلومات في الوقت الفعلي، مثل ما إذا كان الضحية متصلًا بالإنترنت أم لا، ومدى قربهم من مشاهدة إشعار مزيف، والمزيد. تمكن هذه البيانات في الوقت الفعلي المهاجم من استهداف الأشخاص في الأوقات التي يكونون فيها أكثر عرضة للتفاعل مع التنبيهات المزيفة.
تسليح تنبيهات المتصفح للتصيد الاحتيالي
أصعب جزء في استخدام Matrix Push بالنسبة للمهاجم هو ببساطة جعل المستخدم يفعله في المقام الأول.
من خلال الهندسة الاجتماعية، أو أي وسائل أخرى قد تكون ضرورية، يجب على المهاجم جذب المستخدم إلى موقع ويب ضار أو مخترق تحت سيطرته. ثم، مثل أي موقع شرعي، يستخدم الموقع الضار واجهة برمجة التطبيقات (API) الخاصة بإشعارات المتصفح لطلب الإذن لإرسال تنبيهات دفع للضحية.
إذا منح المستخدم هذا الإذن، يسجل الموقع الضار عامل خدمة، وينشئ اشتراكًا في Push API، ويرسل تلك البيانات مرة أخرى إلى أداة التحكم والقيادة (C2) Matrix Push. ونظرًا لأن هذه الواجهات والعمليات قياسية عبر جميع المتصفحات الرئيسية، فإن Matrix Push يعمل بنفس الكفاءة بغض النظر عن المتصفح أو نظام التشغيل (OS) الذي يتصل منه الضحية.
مع كل هذا في مكانه، يمكن للمهاجم الآن إرسال رسائل تصيد إلى ضحيته من خلال وظيفة الإشعارات الأصلية للمتصفح، دون إثارة أي نوع من الإنذارات.
تصيد مرن قائم على الاشتراك للجميع
يبدو أن Matrix Push قد ظهرت فقط على قنوات Telegram ومنتديات الويب المظلم في بداية الشهر الماضي. يتم بيعها حاليًا في السوق السوداء للجرائم الإلكترونية باستخدام نموذج تسعير اشتراك متدرج: 150 دولارًا في العملات المشفرة شهريًا، 405 دولارات لمدة ثلاثة أشهر، 765 دولارًا لمدة ستة أشهر، أو 1500 دولار لمدة عام كامل.
يسوق مطوروها باللغة الإنجليزية للمهاجمين المدفوعين ماليًا، مما يقول ويليامز “يُشير إلى جمهور واسع من المجرمين الإلكترونيين الدوليين بدلاً من منطقة أو مجتمع محدد. نظرًا لأنها مرنة وغير مرتبطة بمنصة معينة، فمن المحتمل أن تُفضل من قبل المهاجمين الذين يستهدفون المستهلكين لسرقة بيانات الاعتماد، والغش في المدفوعات، والاحتيالات في العملات المشفرة، وغيرها من الحملات الواسعة النطاق للهندسة الاجتماعية، ولكن لم تظهر أنماط ضحايا محددة بعد.”
يعتقد ويليامز أن إيقاف أداة مثل Matrix Push سيتطلب جهدًا منسقًا من مطوري المتصفحات، وبائعي الأمان، ومديري الشبكات، والمستخدمين.
“يمكن لمطوري المتصفحات تنفيذ حماية أقوى ضد إساءة الاستخدام، مثل أنظمة السمعة، وإلغاء الإذن تلقائيًا للمواقع المزعجة أو المشبوهة، وتحذيرات أوضح لطلبات الإشعارات عالية المخاطر،” كما يقول، بينما “يمكن للمنتجات الأمنية المساعدة من خلال اكتشاف و blocking known Matrix Push infrastructure ومنح المؤسسات خيار تعطيل أو تقييد دفع الويب تمامًا. كما يلعب المستخدمون والمديرون دورًا رئيسيًا من خلال تجنب الموافقات غير الضرورية للإشعارات ومراجعة وإزالة الأذونات بانتظام من المواقع غير المعروفة أو غير الموثوقة.”
مع تزايد التهديدات السيبرانية، من الضروري أن يكون المستخدمون على دراية بالأدوات مثل Matrix Push. من خلال اتخاذ الاحتياطات اللازمة وفهم كيفية عمل هذه الهجمات، يمكننا تقليل المخاطر وحماية معلوماتنا الشخصية.
