“المركزي أعلن عن منحة مالية للمواطنين السوريين…ادخل إلى الموقع للحصول عليها”

خبر انتشر بشكل كبير على الواتساب والتليغرام ومرفق برابط للتسجيل والتأكد من أنك محقق لشروط الحصول على المنحة.

الحقيقة هي أن الخبر غير صحيح إطلاقاً والرابط المرافق للخبر هو رابط احتيالي.

حيث أن مصرف سورية المركزي لم ينشر هكذا خبر، والروابط المنتشرة (خصوصاً التي تبدأ بـ “مركزي.سايت” و “منحة.سايت”) هي روابط احتيالية بامتياز.

فالموقع الرسمي لمصرف سورية المركزي له دومين مغاير لهذه وهو  (cb.gov.sy)، وعموماً المواقع الحكومية والرسمية تنتهي بـ .gov أو .sy وهو النطاق العلوي الخاص بسوريا.

وأنصح بمتابعة الصفحات الرسمية التابعة للجهات الحكومية لمعرفة كافة القرارات الجديدة.

ذات النصيحة أعلنها المصرف المركزي بعد انتشار هذه الروابط على نطاق واسع.

انتشار عالمي عابر للقارات

خلال فحص إجريناه للموقع الاحتيالي وتتبعنا لهذه الروابط اكتشفنا أنها متغيرة ومتجددة بشكل تكيفي مؤتمت، حيث تحدث نفسها بشكل دوري، وبـ”دومين” مختلف في كل مرة، وكذلك تتغير واجهة المستخدم تبعاً لموقعه الجغرافي الذي يفتح فيه الموقع، وقمنا بإجراء عدة تجارب غيرنا فيها موقعنا عبر تغيير الـ(IP) باستخدام تطبيقات (VPN) لعدة دول منها ألمانيا والسعودية واليونان وأيضاً سوريا ولبنان والأردن ومصر، وفي كل مرة تظهر الواجهة بشكل مخصص حسب البلد، حيث تتغير الجهة المانحة وتتغير معلومات المنحة وكذلك التعليقات المزعومة الظاهرة.

كما تروج للانتشار الفيروسي عبر زعمها بضرورة مشاركة الرابط لـ10 أشخاص وعدة مجموعات ليتمكن الشخص من الحصول على المساعدة، ما يساهم في انتشارها الكبير في المجموعات عبر مواقع التواصل الاجتماعي.

والمثير هنا أن الرابط لا يفتح بهذه الواجهة إلا لو كان المستخدم يفتحه من جواله، فلو فُتح الرابط من الحاسب لوجهه إلى الصفحة الرئيسية لمحرك البحث غوغل، وكأن شيئاً لم يكن.

وسبق وأن انتشرت روابط احتيالية مشابهة في لبنان والأردن ووجدنا تعميماً نشرته وحدة مكافحة الجرائم الالكترونية الأردنية من تداول روابط مشابهة تدعي تقديم مساعدات مالية بقيمة 250 دينار أردني، وكذلك الأمن العام اللبناني وضح في بيان له انتشار هكذا روابط بين اللبنانيين، تقدم منحة بقيمة /400،000/ ل.ل لكل مواطن لبناني، وطالبت المديرية المواطنين بعدم الولوج الى روابط مجهولة المصدر، وأن الإعلان عن هكذا مساعدات يكون مصدرها المواقع الرسمية العائدة للوزارات المعنية والمختصّة.

ما يعني أن المسؤول عن هذه المواقع يستهدف شريحة واسعة من الناس ومن دول عدة.

لنستكشف ما الذي يُخفيه!

تابعنا مع الموقع لمعرفة ما سيحصل – بإدخال بيانات وهمية وليست حقيقية- وجدنا أن الموقع يوجه لموقع آخر طلب تنزيل ملفات على جهاز المختبر، وفي الغالب هذه الملفات هي ملفات خبيثة تساعد المخترقين على سرقة البيانات الشخصية وإحداث الضرر في الأجهزة

وهذه المواقع بعد إدخال البيانات توجه لموقع آخر عنوانه “smrturl.co”، وهو موقع اختصار روابط، حللناه باستخدام خدمات Virus Total وتبين أن عدة برمجيات حماية كشفت أنه رابط مخادع منهم برنامج spam 404.

كما أظهر البحث أن الموقع مشهور بتوجيه المستخدمين إلى إعلانات لإضافات متصفحات الويب غير المرغوب فيها، والاستطلاعات، ومواقع البالغين، والألعاب عبر الإنترنت، وتحديثات البرامج المزيفة، والبرامج غير المرغوب فيها، كذلك المواقع المرتبطة مع Smrturl.co جميعها مواقع إعلانية مشبوهة تروج لعملات رقمية scam ولخصومات وهمية.

هذه الإعلانات في كثير من الأحيان تصبح متطفلة ومن المحتمل أن تكون ضارة بجهاز الكمبيوتر إذا نزّل المستخدم البرنامج الخاطئ، وبالتالي المواقع احتيالية بامتياز.

القصة لم تنتهِ بعد!

الموقع بدوره يوجه لموقع جديد عنوانه “cloudfront.net”، ولأن هذا العنوان (الدومين) مرتبط بالبرامج الخبيثة، حظرت شركة Malwarebytes العديد من المجالات الفرعية لـ cloudfront.net، أي أن الرابط الأول هو غطاء لموقع احتيالي آخر.

هنا قد تخطر على بالنا أسئلة كثيرة منها:

💠ما الذي يدفع هؤلاء -بغض النظر عن من هم- لإنشاء مواقع وهمية كهذه؟

💠ما الفائدة المرجوة من هكذا مواقع؟

الإجابة عن هذه الأسئلة وغيرها تجدونها في المقال الذي نشرته في موقع فتبينوا منذ أكثر من سنتين وضحت فيه الأساليب والأدوات التي يستخدمها المحتالون والمخترقون لإيقاع الناس في فخاخهم، المقال بعنوان: “الهندسة الإجتماعية ودورها في انتشار الأخبار الكاذبة.