تستهدف سرقة الأموال والمعلومات الحساسة

400 % ارتفاعاً في هجمات «انتحال المجال لاختطاف المحادثات»

المهاجم يستخدم نطاقات أسماء مواقع وبريد إلكتروني مزيفة ليدخل طرفاً في المراسلات. من المصدر

المصدر:
  • القاهرة - الإمارات اليوم
التاريخ:

حذّر فريق من خبراء أمن المعلومات من أن مجموعات متنوعة ومتزايدة العدد من محترفي الجريمة الإلكترونية تشن حالياً هجمات أمنية واسعة النطاق على مختلف الشركات والمؤسسات حول العالم، ويطلق عليها هجمات «انتحال المجال لاختطاف المحادثات».

وهي نوعية جديدة تم رصدها لأول مرة في يوليو 2019، ثم سجلت تسارعاً خطيراً خلال الآونة الأخيرة، وتضاعف عددها أربع مرات. وتستخدم فيها تقنيات الذكاء الاصطناعي وتعلم الآلة، وتستند في الأساس إلى استخدام نطاقات أسماء مواقع، ونطاقات بريد إلكتروني مزيفة بعناية.

وتتيح للمهاجمين الانخراط في المراسلات والمحادثات الجارية داخل المؤسسات والشركات، باعتبارهم موظفين فعليين، ويستمرون على ذلك لأيام أو أسابيع، وفي لحظة معينة يقومون بالسطو على أموال الشركة وبياناتها الحساسة.

تحذير أمني

وظهر هذا التحذير الأمني يوم الخميس 16 يناير الجاري، على المدونة الرسمية لمؤسسة «باراكودا» المتخصصة في أمن المعلومات blog.barracuda.com، وذلك في تدوينة تفصيلية نشرها نائب الرئيس الأول للهندسة والمنتجات وحماية البريد الإلكتروني في «باراكودا»، دون ماكلينان.

واستهل ماكلينان تدوينته بقوله: «نحذر الجميع في كل الشركات والمؤسسات من مجرمي الإنترنت الذين يستخدمون اختطاف المحادثات لسرقة الأموال والمعلومات الشخصية الحساسة، وخلال الأشهر الأخيرة رصدنا ارتفاعاً حاداً في هجمات (انتحال المجال لاختطاف المحادثات)، حيث أظهرت تحليلاتنا التي جرت على عينة مكونة من نحو 500 ألف هجمة من هجمات البريد الإلكتروني شهرياً، أن معدل هذه النوعية من الهجمات شهرياً كان قد بلغ 500 هجمة حول العالم، منذ رصدها في يوليو 2019، لكنه ارتفع في نهاية ديسمبر الماضي ليصبح المعدل 2000 هجمة شهرياً، أي بزيادة قدرها 400%، وفي حين أن حجم هجمات (انتحال المجال لاختطاف المحادثات) يُعد في حد ذاته منخفضاً للغاية مقارنةً بأنواع هجمات التصيد الاحتيالي الأخرى، إلا أنها تنطوي على قدر عال جداً من الخطورة، لكونها معقدة وذات طابع شخصي للغاية، ما يجعلها فعالة ويصعب اكتشافها ومكلفة».

طبيعة الهجمة

وشرح ماكلينان طبيعة هذه النوعية الجديدة من الهجمات بقوله إن «انتحال (المجال)، يقصد به أن المهاجم يقوم بانتحال نطاق الاسم الذي حمله الموقع أو البريد الإلكتروني، كنوع من انتحال الهوية، ليبدو في نظر الضحية شخصاً ضمن فريق العمل، أو موظفاً بالشركة والمؤسسة نفسها التي يعمل فيها، ومن ثم يمكنه الاطلاع على جميع المراسلات والمحادثات البريدية التي تجري بين الموظف (الضحية) وزملائه، عبر الانخراط في هذه المحادثات باعتباره واحداً منهم، وبالتالي فهي عملية خداع مركبة وشاقة ومعقدة، تستهلك الكثير من الوقت والجهد والمال من قبل المهاجم حتي تتم على الوجه الأكمل».

وأضاف: «عادةً ما يكون اختطاف المحادثة جزءاً من هجوم استيلاء الحساب، ويقضي المهاجمون وقتاً في قراءة رسائل البريد الإلكتروني ومراقبة الحساب المعرض للخطر لفهم العمليات التجارية والتعرف إلى الصفقات الجارية وإجراءات الدفع والتفاصيل الأخرى، ونادراً ما يستخدم مجرمو الإنترنت الحسابات المشتبه فيها لاختطاف المحادثات، ولكن يستفيدون من الحسابات الحقيقية التي تعرضت للخطر أو الاختراق، ويحصلون عليها من مواقع (الويب السوداء)، ويستخدمونها في صياغة رسائل مقنعة، وإرسالها من النطاقات الحقيقية، لخداع الضحايا وتحويل الأموال لمصلحتهم في النهاية».

مراحل الهجمة

ولخص فريق «باراكودا» مراحل الهجمة في خطوتين، الأولى، خداع المواقع الإلكترونية، وهي عملية بناء موقع مزيف بهدف تضليل المستخدمين، واكتساب ثقتهم، والاعتراف بهوية جماعة أو مؤسسة شرعية، تنخرط في عمل مع المؤسسة أو الشركة المستهدفة، أو قد يخصص الموقع المزيف لعمل محاكاة بشكل يتكرر فيه تصميم الموقع المستهدف، وأحياناً ما يحاكي عنوان URL بأحرف بديلة. ويمكن أن يشتمل الهجوم الأكثر تطوراً على قيام مرتكب الجريمة ببناء «ظل» من الشبكة العنكبوتية العالمية، عن طريق توجيه حركة مرور المستخدم عبر الويب من خلال وحدة التحكم لدى المهاجمين. ويلتقط هذا النوع من الهجوم جميع المعلومات الحساسة للضحايا. وهناك طريقة أخرى يستخدمها مهاجمو «خداع المجال»، وهي استخدام عنوان نطاق أسماء مخفي، باستخدام إعادة توجيه المجال أو إدراج أحرف تحكم، ويمكن أن يبدو عنوان URL أصلياً أثناء إخفاء عنوان موقع الويب الفعلي.

بينما يتم في المرحلة الثانية للهجمة، تزوير رأس البريد الإلكتروني، بحيث يبدو أن الرسالة كأنها قد أنشئت من شخص ما أو في مكان شرعي ومقبول، وليس من مصدرها الفعلي الذي هو «المجرم» أو المهاجم، لأن المستخدمين باتوا في الأغلب لا يفتحون بريداً إلكترونياً، إذا كانوا لا يثقون بشرعية المصدر، ومن ثم تظهر عناوين البريد الإلكتروني بصورة تكاد تتطابق مع نطاق البريد الإلكتروني الشرعي الأصلي للشركة أو المؤسسة. وعادة ما تكون الاختلافات عبارة عن تبديل حرف مكان آخر، أو حذف حرف أو إضافة مسافة أو غيرها من التغييرات الصغيرة التي لابد وأن موظفاً ما لن يلاحظها عند تسلمه المراسلات.

خطوط الدفاع

ويُعد انتحال البريد الإلكتروني ممكناً لأن بروتوكول نقل البريد البسيط المعروف باسم «إس إم تي بي» لا يوفر آلية لمصادقة العنوان، ولذلك يجب على الشركات استخدام بروتوكولات وآليات مصادقة عنوان البريد الإلكتروني لمحاربة خداع البريد الإلكتروني، ومنها بروتوكول إطار سياسة المرسل أو «إس بي إف»، الذي يقوم بالتحقق من صحة البريد الإلكتروني، وبروتوكول مصادقة الرسائل على أساس المجال وإعداد التقارير والمطابقة «دي إم آيه آر سي» المبني على عنصرين هما: الإبلاغ والإنفاذ، ويمكنه التحقق من الأصالة وتنبيه المسؤولين إلى مجالات البريد الإلكتروني الخاطئة على الفور. وعند استخدام مجالات خاطئة يمنع البريد الإلكتروني من الدخول إلى البريد الوارد.

أما إجراءات الدفاع ضد هجمات «احتيال المجال»، فتتضمن بروتوكول «دي كية آي إم» الذي يوفر طريقة للتحقق من صحة هوية اسم المجال المرتبط بالرسالة، وعند إنشاء رسالة، تتم إضافة توقيع رقمي إلى البريد الإلكتروني لضمان صحته. وبروتوكول معرّف المرسل أو «إس آي دي» الذي تروج له «مايكروسوفت» وتم دمجه في الحاسبات الخادمة المسؤولة عن تبادل الرسائل، ومهمته التحقق من هوية وعنوان المرسل.

تثقيف المستخدمين

طالب الفريق الأمني في «باراكودا»، مسؤولي تقنية المعلومات والاتصالات بالشركات والمؤسسات بضرورة تثقيف المستخدمين حول هذه النوعية الجديدة من الهجمات، وأن يركز التدريب بشكل خاص على موظفي الحسابات وغيرهم من المخولين بالتعامل في المعاملات المالية، على أن يتضمن التدريب وسائل التعرف إلى الهجمات وفهم طبيعتها الاحتيالية ومعرفة كيفية الإبلاغ عنها، ثم اختبار فعالية التدريب عبر ممارسات عملية قائمة على المحاكاة، ثم التقييم الدوري للمستخدمين الأكثر عرضة للهجمات.

تويتر
أعلى