كشفت حملة هندسة اجتماعية حديثة عن تطور خطير في تكتيكات التصيد الإلكتروني، حيث تستهدف التفاعلات المباشرة مع خدمة العملاء. يقوم جهات تهديد بانتحال هوية علامات تجارية كبرى مثل PayPal وAmazon داخل أنظمة الدردشة الحية لجمع تفاصيل بطاقات الائتمان، بيانات تسجيل الدخول، ومعلومات شخصية حساسة أخرى. تتجاوز هذه الطريقة مرشحات التصيد التقليدية القائمة على البريد الإلكتروني من خلال بدء الاتصال داخل منصة يثق بها المستخدمون بشكل فطري لحل مشاكل الخدمة، مما يخلق مخططًا خادعًا وفعالاً للغاية. يحذر الباحثون الأمنيون من أن هذا النهج يستغل الثقة الراسخة في قنوات خدمة العملاء الرسمية، مما يجعل من الصعب على الأفراد تمييز الطبيعة الاحتيالية للتفاعل قبل الكشف عن بيانات حاسمة.
يعمل ناقل الهجوم هذا من خلال اختراق أو إنشاء عناصر واجهة دردشة دعم عملاء احتيالية على مواقع ويب متنوعة. قد يواجه الضحايا الذين يبحثون عن المساعدة هذه النوافذ المنبثقة للدردشة الخبيثة، المصممة بدقة لتقليد العلامة التجارية ولغة دعم PayPal أو Amazon الشرعي. بمجرد الدخول في المحادثة، يستخدم وكلاء الدعم المزيفون تكتيكات هندسة اجتماعية عالية الضغط، مدعين وجود مشكلة عاجلة في حساب الضحية—مثل نشاط مريب أو معاملة معلقة—تتطلب التحقق الفوري. ثم يشرع "الوكيل" في طلب أرقام بطاقات الائتمان، وكلمات مرور الحساب، والرموز لمرة واحدة، وتفاصيل تعريف شخصية أخرى تحت ذريعة حل المشكلة المفتعلة.
تسلط هذه الحملة الضوء على ثغرة أمنية حرجة في نموذج الثقة الرقمي المحيط بخدمات الدردشة المباشرة من طرف ثالث. بينما تتبنى الشركات هذه الأدوات لتحسين تجربة المستخدم، يمكن أن تصبح نقطة ضعف إذا لم يتم تأمينها ومراقبتها بشكل صحيح. يشير استغلال المهاجمين لهذه المنصات إلى تحول نحو استغلال قنوات الاتصال في الوقت الفعلي التي تخضع لفحص أقل من قبل حلول الأمان الآلية مقارنة بالبريد الإلكتروني. يُحث المنظمون على تنفيذ تحقق صارم لأي خدمة دردشة تابعة لطرف ثالث يتم دمجها في ممتلكاتهم على الويب، وتثقيف العملاء حول بروتوكولات الدعم الرسمية، بما في ذلك تحذيرات واضحة مفادها أن وكلاء الخدمة الشرعيين لن يطلبوا أبدًا كلمات المرور أو أرقام بطاقات الائتمان الكاملة عبر الدردشة.
بالنسبة للمستهلكين، فإن ضرورة اليقظة المتزايدة أمر حتمي. لا ينبغي للمستخدمين تقديم معلومات حساسة عبر نافذة دردشة غير مطلوبة، حتى لو بدت شرعية. مسار العمل الأكثر أمانًا هو الانتقال مباشرة إلى الموقع الإلكتروني الرسمي للشركة المعنية عن طريق كتابة عنوان URL يدويًا في المتصفح—وليس النقر على الروابط من نتائج البحث أو الدردشة نفسها—والبحث عن الدعم عبر القنوات الموثقة المدرجة هناك. بينما تستمر تقنيات التصيد في النضج واستغلال منصات جديدة، يبقى الجمع بين اجتهاد الأمان التنظيمي والشك المستنير للمستخدم هو الدفاع الأساسي ضد سرقة البيانات المالية والشخصية.
