ارتفاع هجمات التصيد الاحتيالي 220% خلال أزمة كورونا
أظهرت أحدث التقارير الصادرة عن مختبرات شركة إف 5 استمرار مجرمي الإنترنت باستغلال ظروف جائحة فيروس “كورونا” للقيام بممارسات التصيّد والاحتيال الإلكتروني.
فقد كشفت النسخة الرابعة الصادرة اليوم من تقرير التصيّد والاحتيال أن حالات التصيّد الاحتيالي سجّلت ارتفاعا بنسبة 220% مقارنة بالمعدّل السنوي لها، وذلك بالتزامن مع ذروة يشهدها الوباء العالمي.
وأظهرت البيانات الصادرة عن مركز العمليات الأمنية لدى شركة “إف 5″، أن حوادث التصيّد الاحتيالي سوف تسجّل ارتفعا سنويا بمعدل 15% للعام 2020، على الرغم من احتمالية ارتفاع هذا الرقم بسبب الموجة الثانية المتوقعة لجائحة “كورونا”.
وتتركز أهداف محاولات التصيّد عبر رسائل البريد الإلكتروني والمرتبطة بجائحة “كوفيد-19” في أمور ثلاث هي: التبرّع لجمعيات خيرية مزيفة، وسرقة بيانات الصلاحيات الأمنية، ونشر البرامج الضّارة.
وقد تجلّت انتهازية المهاجمين عندما أقدمت شركة “إف 5” على تفحص سجلات شفافية الشهادات (سجل عام لجميع الشهادات الرقمية الموثوقة).
فقد ارتفع عدد الشهادات التي تستخدم عبارة “كوفيد” و”كورونا” ليصل إلى 14,490 شهادة في مارس، وهو ما يمثل زيادة هائلة بمعدل 1102% مقارنة بالشهر الذي سبق.
وقال محمد أبوخاطر، نائب الرئيس الإقليمي في الشرق الأوسط وإفريقيا لدى شركة «إف 5»: “إن مخاطر التعرّض للتصيّد الاحتيالي تبدو أكبر من أي وقت مضى، لا سيما وأن الجهات التي تقف خلف محاولات الاحتيال هذه باتت تستخدم الشهادات الرقمية بشكل متزايد لجعل مواقعهم المزيّفة تبدو وكأنها مواقع يمكن الوثوق بها”.
وأضاف: “يبرع مجرمي الإنترنت في استغلال التوجهات التي تستدر العاطفة، ولا شك أن ظروف جائحة “كوفيد-19″ تساعد في تأجيج هذه التهديدات المرتفعة أصلا، وللأسف، فإن أبحاثنا تشير إلى أن الاحتياطات الأمنية، وتدريب المستخدمين، والوعي العام لا يزال دون الحد المطلوب في جميع أنحاء العالم”.
نطاق الاحتيال
وفقا لما ورد في أبحاث سابقة، لاحظ خبراء مختبرات “إف 5” أن الجهات التي تثق خلف محاولات الاحتيال تتبع ممارسات أكثر إبداعا من أي وقت مضى، لا سيما في اختيار أسماء النطاق والعناوين لمواقع التصيّد التي يطلقونها.
فحتى يومنا هذا من العام 2020، استهدفت 52% من مواقع التصيّد استخدام أسماء علامات تجارية وشخصيات معروفة في عناوين المواقع الإلكترونية الخاصة بهم.
ولدى دراستها بيانات مواقع التصيّد الاحتيالي المتوفرة من شركة “ويب روت”، اكتشفت مختبرات “إف 5” أن “أمازون” كان أكثر العلامات التجارية المستهدفة في النصف الثاني من العام 2020.
كما ظهرت أسماء علامات تجارية أخرى شملت Paypal، و”آبل”، و”واتساب”، و”مايكروسوفت أوفيس”، و”نتفليكس”، و”إنستغرام” من بين أبرز عشر علامات تجارية التي تعرضت لعمليات انتحال الهوية.
ومن خلال تتبعها البيانات المسروقة بهدف استخدامها في عمليات الهجمات النشطة، لاحظت مختبرات “إف 5” أن مجرمي عمليات القرصنة يحاولون استخدام كلمات المرور المسروقة خلال مدة زمنية لا تتجاوز أربع ساعات من عملية التصيّد الاحتيالي للضحية. بل إن بعض الهجمات قد وقعت في الوقت ذاته، كي يتسنى لها التقاط رموز التحقق الأمني متعدد العناصر MFA.
في الوقت ذاته، تبدو ممارسات مجرمي الإنترنت أكثر ضراوة في محاولات اختطاف عناوين النطاق لمواقع إنترنت ذات سمعة جيدة وإن كانت مجانية. فقد شكلت مواقع WordPress قرابة 20% من إجمالي العناوين العامة التي تعرضت لعمليات التصيّد الاحتيالي في العام 2020. في المقابل، كان هذا المعدل منخفضا لدرجة 4.7% في العام 2017.
علاوة على ذلك، لا يدّخر مجرمي الإنترنت جهدا في خفض تكاليف عملياتهم من خلال استخدام مواقع تسجيل مجانية لأسماء النطاق مثل Freenom لبعض الرموز الخاصة ببعض الدول (ccTLDs) مثل .tk و.ml و.ga و.cf و.gq لأسماء النطاق. فعلى سبيل المثال، فإن .tk يعد الآن خامس أشهر عنوان نطاق مسجّل على مستوى العالم.
التّخفي أمام الناظرين
لقد شهد العام 2020 أيضا تكثيف جهود الجهات التي تقف خلف محاولات التصيّد كي تبدو المواقع المزيفة التي يديرونها وكأنها مواقع حقيقة قدر المستطاع. وقد أظهرت إحصاءات مركز العمليات الأمنية SOC لدى شركة “إف 5” أن غالبية مواقع التصيّد الاحتيالي استخدمت تشفيرا للمحتوى، إذ استخدمت شهادات تشفير الآمن لبروتوكول HTTPS بهدف خداع المزيد من الضحايا.
وخلال العام الجاري، فإن مناطق الإسقاط drop zones – وهي الوجهات النهائية التي ترسل البرامج الضارة بياناتها إليها – اعتمدت تشفير TLS بنسبة 100% (مرتفعة عما كانت عليه في العام 2019 بواقع 89%).
وبعد جمعها ما بين الأحداث خلال العامين 2019 و2020، تمكنت مختبرات “إف 5” من رصد 55.3% من مناطق الإسقاط drop zones التي استخدمت منافذ SSL/TLS غير القياسية. وباستثناء حالة واحدة، فقد استخدم المنفذ رقم 446 في جميع الحالات التي تم رصدها.
كما أظهرت دراسة أن 98.2% من مواقع التصيّد الاحتيالي استخدمت المنفذ القياسي 80 لدفع المحتوى النصي عبر بروتوكول HTTP ومنفذ 443 للمحتوى المشفّر بواسطة SSL/TLS.
التهديدات المستقبلية
وفقا لأحدث الدراسات الصادرة عن شركة Shape Security، والذي تم دمجه مع تقرير التصيّد والاحتيال للمرة الأولى، فإنه يمكن الإشارة إلى توجّهين رئيسيين لممارسات التصيّد يلوحان في الأفق.
فنتيجة للتطوّر الذي حققته حلول وعناصر التحكم الأمني، يلجأ المحتالون اليوم إلى التصيّد من خلال ميدان “نقرات” الاستخدام. وهذا ما قد يتضمن العشرات من العاملين عن بعد والذي يحاولون تسجيل الدخول إلى المواقع الإلكترونية المستهدفة بعملية الاختراق وذلك باستخدام بيانات الدخول التي تم الحصول عليها مؤخرا. ويتم الاتصال من خلال وجود شخص يستخدم متصفح ويب قياسي، مما يجعل الكشف عن عمليات الاحتيال هذه مهمة أكثر صعوبة.
ويمكن حتى للهجمات البسيطة أن تنعكس بتأثيراتها. فعلى سبيل المثال، تمكنت شركة Shape Security من رصد 14 مليون عملية تسجيل للدخول إلى مؤسسات للخدمات المالية وسجلت خلالها معدّل احتيال بنسبة 0.4%. وهذا يعادل قرابة 56,000 محاولة تسجيل دخول احتيالية، في حين لا تبدو الأرقام المرتبطة بهذا النوع من الأنشطة إلا مرشحة للارتفاع.
وقد سجّل الباحثون لدى شركة Shape Security أيضا ارتفاعا في حجم نشاط أنظمة وكيل التصيّد الفعّال RTPP والقادرة على رصد رموز التحقق الأمني متعدد العناصر MFA. حيث تعمل هجمات أنظمة الوكيل RTPP هذه بمثابة شخص وسيط يقوم بعمل الوسيط تعترض العمليات بين الضحيّة المستهدفة وبين الموقع الإلكتروني الفعلي. ونظرا لأن عملية الاختراق تتم في الآن ذاته، فإنه يتسنى للموقع المزيّف أتمتة عملية سرقة البيانات وإعادة تفعيل عمليات التحقق المرتبطة زمنيا مثل رموز التحقق الأمني متعدد العناصر MFA. بل إنها قادرة على سرقة وإعادة استخدام ملفات السجل الخاصة بجلسة الاتصال.
ومن الأمثلة على أنظمة وكيل التصيّد الفاعلة كلا من Mohlishka2 وEvilginx23. وتواصل كل من مختبرات “إف 5” وشركة Shape Security العمل على مراقبة الاقبال المتزايد على استخدام أنظمة وكيل التصيّد RTPPs خلال الأشهر المقبلة.
وأضاف واربرتون:” سوف تواصل هجمات التصيّد الاحتيالي النجاح في تحقيق مبتغاها طالما أن هنالك أشخاص يمكن خداهم والتأثير بطريقة على سلوكهم. لكن الضوابط الأمنية وبرامج تصفح الإنترنت هي الأخرى يجب أن تصبح أكثر تطورا وقدرة على رصد المواقع الإلكترونية المزيّفة وتسليط الضوء عليها للفت نظر المستخدمين”.
واختتم حديثه قائلا:” إن الأفراد والمؤسسات ستبقى بحاجة إلى مواصلة التدريب على أحدث التقنيات التي تستخدم في محاولات الاختراق والتصيّد. ولا شك في أن الحاجة تبدو ماسة للتركيز أكثر على الطريقة التي يسلكها المهاجمين مستغلين الظروف والتوجهات الراهنة مثل جائحة فيروس “كوفيد-19″”.