Iamprovider

كشف CTM360 عن حملة 'FraudOnTok' الخبيثة التي تستهدف مستخدمي TikTok Shop

كشف CTM360 عن حملة 'FraudOnTok' الخبيثة التي تستهدف مستخدمي TikTok Shop

كشف النقاب عن حملة FraudOnTok

كشفت شركة الأمن السيبراني CTM360 النقاب عن تهديد عالمي منسق للغاية أُطلق عليه اسم "FraudOnTok"، وهي حملة تسلح جاذبية TikTok التجارية لنشر برنامج التجسس SparkKitty. من خلال خلق وهم سلس للشرعية عبر متاجر مزيفة وعروض ترويجية مولدة بالذكاء الاصطناعي، يقوم المهاجمون بخداع المستخدمين للحصول على بيانات الاعتماد وتثبيت البرامج الضارة بصمت على أجهزة المستخدمين المطمئنين. تمثل هذه الطريقة الهجينة تطوراً خطيراً في عمليات الاحتيال عبر التجارة الاجتماعية، حيث تمزج بين الخداع الرقمي والسرقة المالية على نطاق صناعي.

تكمن تطور العملية في استراتيجية الهجوم ثنائية الاتجاه، التي تستهدف كل من المتسوقين على المنصة والبائعين التابعين لها. حدد الباحثون بنية تحتية واسعة تضم أكثر من 15000 نطاق مشابه مصممة لتقليد عناوين URL الرسمية لمتجر TikTok، مثل المتغيرات التي تستخدم امتدادات .top أو .shop. هذه ليست مجرد مواقع تقليد بسيطة؛ بل هي بوابات محترفة تستضيف عمليات تسجيل دخول مزيفة، وواجهات متاجر احتيالية بعروض تخفيضات "جيدة جداً لدرجة يصعب تصديقها"، ومطالبات بتنزيل تطبيقات حصان طروادة، حيث توجه جميعها الضحايا نحو تسريب البيانات أو مدفوعات العملات المشفرة التي لا يمكن التراجع عنها.

البنية التحتية الخادعة: النطاقات المشابهة والتطبيقات المزيفة

في قلب حملة FraudOnTok توجد شبكة ضخمة من النظائر الرقمية. قام الجهات الفاعلة الخبيثة بتسجيل آلاف النطاقات التي تشبه بذكاء خدمات التجارة الشرعية في TikTok—مثل "tikshop-gifts" أو "tiktok-bonus"—لتمرير نظرة سريعة. هذه المواقع ليست مجرد صفحات تصيد؛ إنها نسخ متماثلة كاملة لتجربة متجر TikTok، مكتملة بقوائم المنتجات وعربات التسوق ولوحات التحكم للشركاء. الهدف هو خلق شعور زائف بالأمان، مما يشجع المستخدمين على إدخال تفاصيل تسجيل الدخول أو معلومات الدفع دون تردد.

بخلاف الويب، تروج الحملة لتطبيقات جوال مزيفة. غالباً ما يتم توزيع تطبيقات "متجر TikTok" الحصان طروادة هذه عبر رموز QR في الإعلانات أو روابط على منصات المراسلة المشفرة مثل Telegram. بمجرد التثبيت، تعكس واجهة التطبيق الرسمي تماماً ولكنها مضمنة بحمولة SparkKitty. تضمن طريقة الهجوم متعددة الأسطح هذه أنه سواء كان الضحية على متصفح أو جهاز محمول، فإن الفخ منصوب، مما يوسع بشكل كبير نطاق وفعالية الهجوم.

كيفية عمل التطبيقات المزيفة

تستخدم التطبيقات الخبيثة هندسة اجتماعية ذكية داخل كودها. على سبيل المثال، قد تفشل عمداً في محاولة تسجيل الدخول القائمة على البريد الإلكتروني، مما يدفع المستخدم للمصادقة عبر تدفق Google OAuth بدلاً من ذلك. تهدف هذه التكتيكات على الأرجح إلى اختطاف رموز الجلسة وتجاوز فحوصات الأمان التقليدية. بمجرد الدخول، إذا توجه المستخدم إلى قسم المتجر، يتم تقديم شاشة تسجيل دخول مزيفة أخرى، مما يخلق حلقة تجمع بيانات الاعتماد بينما يعمل برنامج SparkKitty الضار في الخلفية لاستخراج بيانات الجهاز.

برنامج تجسس SparkKitty: سارق البيانات الصامت

SparkKitty هو محرك السرقة في هذه الحملة، وهو نوع من برامج التجسس عبر المنصات مرتبط بـ SparkCat الموثق سابقاً. بمجرد التسلل إلى جهاز—سواء كان Android أو iOS—يعمل بخفاء مقلق. تمتد قدراته إلى أبعد من مجرد تسجيل ضغطات المفاتيح؛ فهو يقوم بتحديد بصمة الجهاز، ومراقبة محتوى الحافظة للبحث عن كلمات المرور أو عناوين العملات المشفرة المنسوخة، ويستخدم التعرف الضوئي على الأحرف (OCR) لمسح معرض صور المستخدم بحثاً عن لقطات الشاشة التي تحتوي على عبارات استعادة محفظة العملات المشفرة أو المفاتيح الخاصة.

يتم بعد ذلك تسريب هذه البيانات إلى خوادم يتحكم فيها المهاجمون، غالباً عبر روبوتات Telegram، مما يتيح الوصول في الوقت الفعلي إلى الأصول الرقمية للضحايا. تجعل قدرة برنامج التجسس على قراءة الصور منه خبيثاً بشكل خاص، حيث قد يقوم المستخدمون بتخزين معلومات مالية حساسة في معارضهم دون علم. من خلال الجمع بين سرقة بيانات الاعتماد واستنزاف المحافظ مباشرة، تزيد FraudOnTok من الضرر المالي، مما يترك الضحايا مقفلين خارج حساباتهم ومحافظهم المشفرة فارغة.

الهندسة الاجتماعية على نطاق واسع: الذكاء الاصطناعي والإعلانات المدفوعة

آلية توزيع FraudOnTok فعالة بلا رحمة، حيث تستفيد من التكتيكات التسويقية الحديثة لأغراض خبيثة. يستخدم المهاجمون مقاطع فيديو مولدة بالذكاء الاصطناعي تحاكي مؤثرين حقيقيين على TikTok أو سفراء العلامات التجارية، للترويج لمبيعات فلاش مزيفة أو فرص شراكة حصرية. يتم تعزيز هذه الفيديوهات من خلال إعلانات مدفوعة على منصات مثل Meta (Facebook) وحتى داخل TikTok نفسها، مما يضفي هالة من الشرعية تتجاوز الشك الأولي للمستخدم.

يتم بعد ذلك توجيه حركة المرور عبر استراتيجية متعددة الجوانب: من الإعلانات إلى النطاقات المشابهة، وغالباً، إلى قنوات خاصة على WhatsApp أو Telegram. تزيد تكتيكات الانتقال إلى الدردشة من الإلحاح من خلال الحوار الفردي، حيث يطبق المحتالون تكتيكات الضغط لدفع الإجراءات الخطيرة، مثل تنزيل تطبيق أو إجراء دفعة بالعملات المشفرة. تم تصميم العملية بأكملها لخفض الدفاعات تدريجياً، مستغلة الثقة في أنظمة وسائل التواصل الاجتماعي لتسهيل الاحتيال.

دور المراسلة المشفرة

يخدم تحويل المحادثات إلى Telegram أو WhatsApp غرضاً مزدوجاً: فهو يعزز الإقناع من خلال الإكراه الشخصي، ويضع التفاعلات خارج آليات الإبلاغ والإنفاذ الخاصة بالمنصات الرئيسية. هنا، قد يُخبر الضحايا بأن "حسابهم في خطر" أو أن "مكافأة محدودة الوقت" تتطلب إجراءً فورياً، مما يخلق أزمة زائفة تتجاوز الحذر المنطقي.

المحرك المالي: العملات المشفرة وتحقيق الدخل

تم بناء نموذج تحقيق الدخل لـ FraudOnTok عمداً على المعاملات التي لا رجعة فيها. على عكس مدفوعات البطاقات التقليدية التي تقدم خيارات استرداد الأموال، تدفع هذه الحملة حصرياً نحو مدفوعات العملات المشفرة—غالباً في USDT أو ETH أو أصول رقمية أخرى. يتم توجيه الضحايا الذين يتسوقون في واجهات المتاجر المزيفة إلى عمليات دفع تعمل بالعملات المشفرة فقط، بينما يتم إغراء البائعين التابعين "بتعبئة" محافظ مزيفة بوعود بعمولات محسنة أو مكافآت سحب لا تتحقق أبداً.

مضخة الشفط المالي لا تتوقف عند هذا الحد. تتيح بيانات الاعتماد المسروقة الاستيلاء على الحسابات، حيث تتم إعادة بيع حسابات TikTok Shop أو حسابات الإعلانات المخترقة أو إساءة استخدامها لمزيد من عمليات الاحتيال، مما يضخم دائرة التأثير. هذا يخلق تياراً إيرادياً متعدد الطبقات: السرقة المباشرة للعملات المشفرة من المحافظ، وإعادة بيع الحسابات المخترقة، واحتمال الاحتيال في الإعلانات. لا يجعل التركيز على العملات المشفرة تتبع الأموال صعباً فحسب، بل يتوافق أيضاً مع هدف المهاجمين المتمثل في تحقيق مكاسب مالية سريعة وغير قابلة للتتبع.

دفاعات عملية للمستخدمين والعلامات التجارية

يتطلب مكافحة حملة بهذا التعقيد خطوات ملموسة وقابلة للتنفيذ بدلاً من التحذيرات الغامضة. بالنسبة للمستخدمين الأفراد، خط الدفاع الأول هو اليقظة: تحقق دائماً من أسماء النطاقات يدوياً، ابحث عن أخطاء إملائية أو امتدادات غير عادية مثل .icu. لا تقم أبداً بتنزيل التطبيقات من مصادر خارجية أو تثبيت ملفات APK من رموز QR؛ التزم بمتاجر التطبيقات الرسمية. قم بتمكين المصادقة الثنائية القوية المدعومة بالأجهزة (2FA) أو استخدم مفاتيح المرور لتسجيلات الدخول على المنصة، واستخدم مدير كلمات المرور لتجنب إعادة استخدام بيانات الاعتماد.

بالنسبة للعلامات التجارية والبائعين الذين يعملون على TikTok Shop، فإن المراقبة الاستباقية هي المفتاح. قم بتنفيذ خدمات حماية المخاطر الرقمية لفحص انتحال الهوية للعلامة التجارية عبر النطاقات ووسائل التواصل الاجتماعي. قم بإعداد تنبيهات للنشاط غير الطبيعي للحساب، مثل التغييرات المفاجئة في طرق الدفع أو إضافة مسؤولين جدد من مواقع غير مألوفة. بالإضافة إلى ذلك، تعاون مع المنصات لتشديد سياسات مراجعة الإعلانات المتعلقة بالكلمات الرئيسية التجارية، للمساعدة في كبح التوزيع المدفوع للمحتوى الاحتيالي.

نظرة مستقبلية: دروس لأمن التجارة الرقمية

تذكرنا حملة FraudOnTok بوضوح أنه مع نمو التجارة الاجتماعية، تزداد جاذبيتها للمجرمين الإلكترونيين. تسلط هذه العملية الضوء على التقارب المتزايد للتصيد الاحتيالي، وتسليم البرامج الضارة، والهندسة الاجتماعية المدعومة بالذكاء الاصطناعي—وهو مزيج يمكن إعادة استخدامه بسهولة ضد منصات أخرى. بالنسبة لمجتمع الأمن، فإنه يؤكد الحاجة إلى مشاركة استخبارات التهديدات في الوقت الفعلي وآليات مصادقة أكثر قوة، خاصة في أنظمة التطبيقات حيث تشكل التنزيلات من جهات خارجية مخاطر.

في النهاية، يتطلب البقاء بأمان في هذا المشهد تحولاً في العقلية: عامل الصفقات عبر الإنترنت الجيدة جداً لدرجة يصعب تصديقها بشك شديد، واعط الأولوية للنظافة الأمنية كجزء من تجربة التسوق. من خلال فهم التكتيكات وراء التهديدات مثل FraudOnTok، يمكن للمستخدمين والشركات بناء دفاعات أكثر مرونة، مما يضمن أن الابتكار في التجارة الإلكترونية لا يتم تقويضه من قبل أولئك الذين يسعون لاستغلال ثقتها. قد يكون نطاق الحملة واسعاً، ولكن مع اليقظة المستنيرة، يمكن احتواء تأثيرها.