تهديد ثلاثي الرسائل النصية القصيرة
ارتبطت حملة احتيال عبر الرسائل النصية القصيرة واسعة النطاق بأكثر من 194,000 موقع إلكتروني ضار منذ 1 يناير 2024، مستهدفةً مجموعة واسعة من الخدمات حول العالم. وتستغل الحملة رسائل نصية قصيرة مضللة لخداع المستخدمين ودفعهم إلى الكشف عن معلومات حساسة، غالبًا ما تنتحل صفة مخالفات مرورية أو طرود مُسلّمة خطأً.
وعلى الرغم من أن النطاقات مسجلة من خلال مسجل مقره هونج كونج وتستخدم خوادم أسماء صينية، فإن البنية التحتية للهجوم تعمل في المقام الأول من خدمات سحابية تستضيفها الولايات المتحدة، مما يعكس إعدادًا موزعًا عالميًا.
جدول المحتويات
ثالوث الرسائل النصية القصيرة: جهات تهديد مرتبطة بالصين
تُنسب هذه الحملة إلى جماعة مرتبطة بالصين تُعرف باسم "ثلاثية الرسائل النصية القصيرة"، وهي جماعة معروفة بإغراق الهواتف المحمولة بإشعارات احتيالية. على مدار السنوات الثلاث الماضية، حققت هذه الحملات أرباحًا طائلة، حيث جنت أكثر من مليار دولار من عائداتها.
تُسلّط النتائج الأخيرة الضوء على تطور ملحوظ في أساليبهم. تستهدف أدوات التصيد الاحتيالي بشكل متزايد حسابات الوساطة لسرقة بيانات اعتماد البنوك ورموز المصادقة. وقد ارتفعت الهجمات على هذه الحسابات خمسة أضعاف في الربع الثاني من عام 2025 مقارنةً بالفترة نفسها من عام 2024. بمجرد اختراقها، يتلاعب المهاجمون بأسعار الأسهم باستخدام أساليب "التصعيد والتفريغ"، تاركين آثارًا ورقية ضئيلة.
التصيد الاحتيالي كخدمة: منظومة إجرامية منظمة
لقد تحولت مجموعة Smishing Triad من مجرد مزود لأدوات التصيد الاحتيالي إلى مجتمع نشط للغاية لـ Phishing-as-a-Service (PhaaS)، والذي يضم العديد من الجهات الفاعلة المتخصصة:
- مطورو أدوات التصيد الاحتيالي – يقومون بإنشاء الأدوات.
- وسطاء البيانات – توفير أرقام الهواتف المستهدفة.
- بائعي النطاقات – تسجيل النطاقات المؤقتة لاستضافة مواقع التصيد الاحتيالي.
- مقدمي الاستضافة – صيانة الخوادم.
- مرسلو البريد العشوائي – يقومون بتوزيع الرسائل الاحتيالية على نطاق واسع.
- ماسحات حيوية – التحقق من أرقام الهواتف النشطة.
- ماسحات القائمة المحظورة - تحقق من المجالات مقابل القوائم المحظورة للتدوير.
يتيح هذا النظام البيئي النشر السريع والتكيف المستمر، مما يجعل الكشف والتعطيل أمرًا صعبًا.
استراتيجية تسجيل النطاقات والانسحاب
يكشف التحليل أن ما يقرب من 93,200 نطاق أساسي من أصل 136,933 نطاقًا (68.06%) مسجل لدى شركة Dominet (HK) Limited. يستخدم معظمها بادئة .com، على الرغم من ارتفاع تسجيلات نطاقات .gov في الأشهر الأخيرة.
تعتمد الحملة بشكل كبير على سرعة دوران النطاق:
- 29.19% من المجالات كانت نشطة لمدة يومين أو أقل
- 71.3% كانوا نشطين لمدة تقل عن أسبوع
- 82.6% كانوا نشطين لمدة أسبوعين أو أقل
- أقل من 6% نجوا بعد ثلاثة أشهر
يسمح هذا التغيير، إلى جانب 194,345 اسم نطاق مؤهل بالكامل يتحول إلى 43,494 عنوان IP فريد (معظمها في الولايات المتحدة على Cloudflare)، لمرتكبي التهديدات بالتهرب المستمر من الاكتشاف.
رؤى البنية التحتية والوصول العالمي
وتتضمن النتائج الرئيسية لتحليل البنية التحتية للحملة ما يلي:
- خدمة البريد الأمريكية هي الخدمة الأكثر انتحالاً، حيث يبلغ عددها 28,045 اسم نطاق مؤهل بالكامل.
- تسيطر عمليات إغراء خدمة تحصيل الرسوم على ما يقرب من 90 ألف اسم نطاق مؤهل بالكامل للتصيد الاحتيالي.
- يتم استضافة المجالات التي تولد أعلى معدل حركة مرور في المقام الأول في الولايات المتحدة، تليها الصين وسنغافورة.
يتم استهداف الضحايا عبر قطاعات متعددة، بما في ذلك البنوك، ومنصات تبادل العملات المشفرة، وخدمات التوصيل، وقوات الشرطة، والمؤسسات المملوكة للدولة، وخدمات تحصيل الرسوم، وتطبيقات مشاركة السيارات، وخدمات الضيافة، ووسائل التواصل الاجتماعي، ومنصات التجارة الإلكترونية في دول مثل روسيا وبولندا وليتوانيا.
في كثير من الأحيان، تعمل حملات انتحال شخصية الحكومة على إعادة توجيه المستخدمين إلى صفحات مقصودة تزعم عدم دفع رسوم الطرق أو رسوم الخدمة، وفي بعض الأحيان يتم الاستفادة من إغراءات ClickFix لخداع المستخدمين لتنفيذ تعليمات برمجية ضارة مقنعة على أنها تحققات CAPTCHA.
تهديد لامركزي ذو تأثير عالمي
تُظهر حملة "ثالوث التصيد الاحتيالي عبر الرسائل النصية القصيرة" انتشارًا عالميًا ولامركزية. يُسجّل المهاجمون آلاف النطاقات ويتنقلون بينها يوميًا، مُحاكيين خدمات متنوعة لتحقيق أقصى تأثير. تُمثّل حملات التصيد الاحتيالي عبر الرسائل النصية القصيرة التي تستهدف خدمات الرسوم في الولايات المتحدة جانبًا واحدًا فقط من مشروع إجرامي ضخم، شديد التكيف، ومربح، ويستمر في التطور على نطاق واسع.
