كشفت شركة كاسبرسكي عن حملة تصيد احتيالي جديدة تستهدف مستخدمي واتس آب، حيث يستغل المحتالون فكرة التصويت الوهمي للإيقاع بالضحايا.
تعتمد هذه الهجمات على إغراء المستخدمين بصفحات تصويت مزيفة تدعي دعم رياضيين ناشئين، أو استخدام مواضيع أخرى لجذب الضحايا وخداعهم، ورغم تنوع الأساليب، يظل الهدف الرئيسي للمجرمين هو اختراق حسابات واتس آب والسيطرة عليها.
### كيف تتم عملية الاحتيال؟
تبدأ العملية بتوجيه المستخدمين إلى صفحة ويب تبدو موثوقة للوهلة الأولى، وتعلن عن مسابقة تصويت وهمية، وقد تعرض الصفحة صورًا لرياضيين مع زر “للتصويت”، بالإضافة إلى عدادات رقمية تعرض نتائج التصويت الوهمية وعدد المستخدمين المشاركين، هذه العناصر تهدف إلى إضفاء مصداقية زائفة لتشجيع الضحايا على التفاعل والمشاركة، كما تُروج الصفحة لإمكانية مشاركة الجميع بمجرد إتمام “التحقق والمصادقة”، مع وعود بجوائز من “جهات راعية” وهمية.
بمجرد النقر على زر “التصويت” أو “التحقق والمصادقة”، يُعاد توجيه المستخدمين إلى صفحة ويب احتيالية تطلب منهم الموافقة “بسرعة وسهولة” عبر واتس آب، ويُطلب منهم إدخال رقم الهاتف المستخدم في حساب واتس آب.
### التجسس على الضحايا
يستغل المحتالون ميزة تسجيل الدخول إلى واتس آب ويب باستخدام رمز لمرة واحدة، حيث يقومون بإدخال رقم هاتف الضحية لتسجيل الدخول إلى واتس آب ويب، مما يرسل رمز تحقق مكون من 6 أرقام تحاكيه الصفحة الاحتيالية، وبمجرد إدخال المستخدم للرمز على هاتفه، يتم تفعيل جلسة الويب التي أطلقها المهاجمون، مما يتيح لهم التجسس على الضحية، وكتابة الرسائل، والسيطرة الكاملة على الحساب.
تقول تاتيانا شيرباكوفا، محللة محتوى الويب لدى كاسبرسكي: “نرى حاليًا رواجًا كبيرًا لمسابقات التصويت الإلكترونية، وهذا ما يستغله المجرمون السيبرانيون في عملياتهم، مستغلين ثقة المستخدمين بهذا النشاط الذي يبدو غير خبيث، ويعتمد المجرمون على أساليب الهندسة الاجتماعية وواجهات المواقع الزائفة لخداع الضحايا وسرقة بياناتهم الحساسة، لذلك، الوعي والحذر هما العاملان الأساسيان للحفاظ على الأمان”.
### تدابير مهمة للحماية
توصي كاسبرسكي باتخاذ التدابير التالية للحماية من عمليات الاحتيال وسرقة الحسابات:
* تفعيل التحقق بخطوتين: قم بتفعيل ميزة التحقق بخطوتين في واتس آب لإضافة طبقة أمان إضافية، مما يستلزم إدخال رقم تعريف شخصي (PIN) للوصول إلى الحساب.
* التحقق من شرعية الموقع الإلكتروني: تجنب إدخال معلوماتك الشخصية في مواقع إلكترونية غير معروفة، خاصةً تلك التي تصل إليها عبر روابط غير مرغوب فيها، وتأكد دائمًا من صحة عنوان الرابط الإلكتروني.
* عدم مشاركة رموز التحقق: لن يطلب تطبيق واتس آب رمز التحقق منك مطلقًا، لذا، لا تشاركه مع أي شخص، ولا تقبله من أي شخص، حتى لو كان مصدرًا موثوقًا.
* استخدام حل أمني موثوق: استخدم برنامج حماية موثوق للكشف عن المواقع والروابط الخبيثة وحظرها.