يسعى القراصنة دائما إلى الحصول على الكسب المادي من خلال الأساليب التي يتبعونها لخداع المستخدمين، فقد بات القراصنة يقومون باستخدام أكثر من ألف اسم نطاق غير مستخدم، توجه المستخدمين عند زيارتها إلى عناوين URL غير مطلوبة سعيا وراء تحقيق الربح غير المشروع، حيث إن هذه الصفحات ذات أهداف خبيثة.
ويشتري أحيانا بعض الخدمات المتخصصة أسماء نطاق الويب الخاصة بالشركات عندما تتوقف عن سداد الرسوم المطلوبة مقابلها، لتعرض للبيع في أحد مواقع المزادات، ويوجه أولئك الذين يحاولون زيارة موقع الويب غير النشط إلى موقع المزاد، حيث يجدون أن اسم النطاق أو عنوان موقع الويب معروض للبيع، أو أن هذا على الأقل ما يجب أن يكون، لكن المخربين يستبدلون في صفحة المزاد شيئا آخر، مثل رابط خبيث، ليمكنهم وضع مخطط تخريبي لإصابة المستخدمين أو جني الأرباح على حسابهم.
واكتشف باحثو “كاسبرسكي”، أثناء تحقيق يجرونه في شأن أداة مساعدة خاصة بلعبة شائعة على الإنترنت، محاولة من تطبيق هذه الأداة لتوجيههم إلى عنوان URL غير مرغوب فيه، ليتضح لهم أن عنوان URL هذا كان قد أدرج للبيع في موقع للمزادات، لكن هذه الصفحة وجهت الباحثين ثانية إلى صفحة أخرى مدرجة في إحدى القوائم السوداء، بدلا من توجيههم إلى الصفحة الصحيحة.
وكشف تحليل إضافي تم إجراؤه عن وجود نحو ألف موقع ويب معروض للبيع على منصات المزاد المختلفة، نقلت المستخدمين في المرحلة الثانية من التوجيه، إلى أكثر من 2500 عنوان URL غير مرغوب فيه، ويعمل عديد من هذه المواقع على تنزيل التروجان Shlayer، أحد التهديدات المنتشرة التي تشكل خطرا على النظام macOS، الذي يثبت برمجيات إعلانية على الأجهزة المصابة ويجري توزيعه من خلال صفحات ويب ذات محتوى خبيث.
وكانت 89 في المائة من عمليات التوجيه في المستوى أو المرحلة الثانية، التي جرت بين آذار (مارس) 2019 وشباط (فبراير) 2020، تتم إلى صفحات ذات صلة بالإعلانات، في حين كانت نسبة الأحد 10 في المائة منها إلى برمجيات خبيثة، فإما أن يطلب من المستخدمين تثبيت برمجية خبيثة وإما تنزيل مستندات MS Office أو PDF مصابة، أو أن الصفحات نفسها تحتوي على شفرات برمجية خبيثة.
وأشار الخبراء إلى أن السبب وراء هذا المخطط الخبيث متعدد المستويات يمكن أن يكون ذا طبيعة مالية، إذ يحصل المحتالون على عائدات مالية من جراء توجيههم الزيارات إلى الصفحات، سواء الصفحات الإعلانية الرسمية أو تلك الخبيثة، وهذا ما يعرف باسم “الإعلانات الخبيثة”، فعلى سبيل المثال، كانت إحدى الصفحات الخبيثة التي جرى الكشف عنها قد تلقت 600 عملية توجيه للمستخدمين في المعدل في غضون عشرة أيام فقط، إذ يبدو على الأرجح أن المجرمين يتلقون المال بناء على عدد الزيارات، وفي حالة التروجان Shlayer، يتلقى من يوزعونه دفعة لكل عملية تثبيت له على جهاز إحدى الضحايا.
ومن المحتمل أن تكون عملية الخداع ناجمة عن عيوب في تصفية الإعلانات للوحدة التي تعرض محتوى شبكة الإعلانات الخارجية، ولا يمكن للمستخدمين فعل الشيء الكثير لتجنب توجيههم إلى صفحة خبيثة، وأشارت “كاسبرسكي” إلى أن أسماء النطاق التي تجرى منها عمليات التوجيه تلك، كانت في وقت ما مواقع ويب رسمية ربما زارها المستخدمون كثيرا في الماضي، كما أنه لا يمكن للمستخدمين معرفة أنها أصبحت تنقلهم الآن إلى صفحات تنزل برمجيات خبيثة على أجهزتهم، ولم يقتصر الأمر على ذلك، إذ يضاف إلى التحدي أن الوصول إلى الموقع يختلف باختلاف الطريقة، فالوصول إليه يوما ما من روسيا، مثلا، لن يتسبب في حدوث شيء، لكن عند محاولة الوصول إليه باستخدام شبكة افتراضية خاصة، فقد يجري توجيه المستخدم إلى صفحة تنزل Shlayer على جهازه، وبشكل عام، فإن مخططات الإعلانات الخبيثة مثل هذه تتسم بالتعقيد، ما يجعل من الصعب الكشف عنها بالكامل، لذا فإن أفضل دفاع للمستخدم يتمثل في وجود حل أمني شامل على جهازه.
القراصنة يوجهون المستخدمين إلى الصفحات المشبوهة عبر عناوين رسمية.
