خدمة ستاركيلر الجديدة: خداع متطور يستهدف حساباتك عبر صفحات تسجيل الدخول الحقيقية

خدمة ستاركيلر: خدعة تصيد متطورة تستهدف حساباتك عبر صفحات حقيقية

غالبية مواقع التصيد الاحتيالي لا تتجاوز كونها نسخًا ثابتة لصفحات تسجيل الدخول للمواقع الشهيرة، وغالبًا ما يتم اكتشافها وإزالتها بسرعة من قبل خبراء الأمن والمتطوعين. لكن خدمة جديدة متخصصة في التصيد الاحتيالي كخدمة (Phishing-as-a-Service) تتفوق على هذه الأساليب التقليدية من خلال استخدام تقنيات متقدمة لتجنب الاكتشاف.

تستخدم خدمة ستاركيلر روابط مخادعة لتحميل الصفحة الأصلية للموقع المستهدف، ثم تعمل كجسر بين الضحية والموقع الشرعي. فهي تنقل بيانات تسجيل الدخول (اسم المستخدم وكلمة المرور) ورموز التحقق الثنائي (MFA) إلى الموقع الأصلي، مما يجعل العملية تبدو طبيعية للمستخدم، في حين يتم تسجيل كل هذه البيانات من قبل المهاجم.

كيف تعمل خدمة ستاركيلر؟

وفقًا لتحليل أجرته شركة الأمن السيبراني Abnormal AI، تسمح خدمة ستاركيلر للمهاجمين باختيار العلامة التجارية التي يرغبون في انتحالها (مثل أبل، فيسبوك، جوجل، مايكروسوفت، وغيرها). ثم تقوم الخدمة بإنشاء رابط مزيف يشبه النطاق الأصلي، مع توجيه حركة المرور عبر بنية تحتية خبيثة.

على سبيل المثال، قد يظهر الرابط المزيف المستهدف لمستخدمي مايكروسوفت كالتالي:

login.microsoft.com@[رابط مختصر/خبيث]

تستخدم هذه الحيلة القديمة but goodie، حيث يعتبر كل ما قبل علامة "@" في الرابط بمثابة بيانات تسجيل دخول، في حين أن الصفحة الحقيقية هي ما يلي العلامة. في المتصفح، يظهر الرابط وكأنه ينتمي إلى النطاق الأصلي، مما يزيد من مصداقيته.

كما تتيح الخدمة للمهاجمين استخدام اختصارات URLs من خدمات مثل Bit.ly أو TinyURL لزيادة الخداع.

ميزات متقدمة لسرقة الحسابات في الوقت الفعلي

عند اختيار الهدف، تقوم ستاركيلر بإنشاء حاوية Docker تعمل بنظام Chrome بدون واجهة رسومية، وتحميل الصفحة الأصلية للموقع المستهدف. ثم تعمل الحاوية كوسيط عكسي (Man-in-the-Middle Proxy)، حيث تنقل مدخلات المستخدم إلى الموقع الشرعي وتعرض استجابات الموقع للمهاجم.

أوضح باحثو الأمن Callie Baron و Piotr Wojtyla في مدونة لهم:

«تنقل الحاوية كل ضغطة على لوحة المفاتيح، وإرسال النماذج، ورموز الجلسة عبر البنية التحتية الخبيثة وتسجيلها أثناء ذلك».

توفر ستاركيلر للمهاجمين ميزات متقدمة تشمل:

• مراقبة الجلسة في الوقت الفعلي: عرض شاشة الضحية أثناء تفاعله مع الصفحة المزيفة.
• تسجيل كل ضغطة على لوحة المفاتيح (Keylogger): تسجيل جميع البيانات المدخلة بما في ذلك كلمات المرور.
• سرقة ملفات تعريف الارتباط (Cookies) ورموز الجلسة: تمكين المهاجمين من الاستيلاء على الحسابات مباشرة.
• تتبع الموقع الجغرافي للضحية: تحديد موقع الضحية بدقة.
• تنبيهات فورية عبر تيليجرام: إرسال إشعارات عند تسجيل بيانات جديدة.
• تحليلات الحملة: عرض إحصائيات مثل عدد الزيارات ومعدلات التحويل، بالإضافة إلى رسوم بيانية للأداء، مشابهة لتلك التي تقدمها منصات SaaS الشرعية.

وأشار الباحثون إلى أن الخدمة تتفوق في خداع أنظمة التحقق الثنائي (MFA)، حيث يتمforwarding رموز التحقق من قبل الضحية إلى الموقع الأصلي عبر الوسيط، مما يسمح للمهاجمين بالاستيلاء على الحسابات حتى بعد تمكين المصادقة الثنائية.

تحذير: كيف تحمي نفسك من هذه الخدعة؟

يوصي خبراء الأمن باتباع هذه الإجراءات الوقائية:

• التحقق من الروابط: تجنب النقر على الروابط المشبوهة، خاصة تلك التي تحتوي على علامات @ أو نطاقات غريبة.
• استخدام المصادقة الثنائية (MFA): على الرغم من أن ستاركيلر تخترق MFA، إلا أن تمكينها لا يزال يقلل من فرص الاختراق.
• مراقبة الحسابات بانتظام: تحقق من نشاط الحسابات غير المعتاد أو تسجيلات الدخول من مواقع غير معروفة.
• استخدام أدوات الحماية: تثبيت برامج مكافحة الفيروسات وحماية البريد الإلكتروني التي يمكنها اكتشاف محاولات التصيد الاحتيالي.
• التثقيف الأمني: تدريب الموظفين أو العائلة على التعرف على رسائل التصيد الاحتيالي الشائعة.