Article image
مصدر الصورة: جيفرسون سانتوس عبر أنسبلاش



استغل القراصنة مخاوف البشر من فيروس كورونا ووجودهم في المنزل واتصالهم الدائم بالإنترنت لشن موجةٍ جديدة من الهجمات الرقمية.

2020-04-27 16:23:23

27 أبريل 2020

أثر انتشار مرض كوفيد-19 الناتج عن الإصابة بفيروس كورونا المستجد على حياتنا بشكلٍ كبير؛ حيث لجأت غالبية الدول والحكومات لاتخاذ إجراءاتٍ صارمة تهدف لتبطيء انتشار الفيروس والتحكم في معدل الإصابات، عبر فرض قيود الابتعاد الاجتماعي والهادفة بشكلٍ أساسيّ لتسطيح منحنى الانتشار وجعل هيئات الرعاية الصحية قادرة على استيعاب الحالات. وكنتيجةٍ أولية لهذه الإجراءات، اضطرت الغالبية العظمى من الأشخاص للبقاء والعمل من المنزل، فباستثناء القطاعات الحيوية والطبية التي لا يمكن للعاملين فيها إنجاز مهماتهم من المنزل، عمدت الشركات إلى تطبيق مبدأ العمل عن بعد لتخفيف التواصل والاحتكاك بين البشر، كما أن المدارس والجامعات وحتى دور العبادة أغلقت أبوابها.

من ناحيةٍ أخرى، ومع تزايد اعتمادنا على الإنترنت ووسائل التواصل الاجتماعيّ كوسيلةٍ أساسية للحصول على الأخبار والمعلومات من جهة، ولقضاء الوقت والتواصل مع الأصدقاء من جهةٍ أخرى، وجد القراصنة نفسهم أمام فرصةٍ ذهبية لاستهداف عددٍ كبيرٍ من الأشخاص عبر موجةٍ جديدة من الهجمات التي تتمحور حول فيروس كورونا. تم نشر العديد من الأخبار والتقارير حول الهجمات الرقمية المرتبطة بفيروس كورونا والتهديد المترتب عليها، حيث وصلت هذه الهجمات إلى حد محاولة قرصنة بيانات موظفي منظمة الصحة العالمية في منتصف شهر مارس الماضي، عبر تفعيل موقعٍ إلكترونيّ خبيث يشابه نظام البريد الإلكتروني الداخلي للمنظمة، كما تم مؤخراً رصد محاولات لقرصنة قطاع الرعاية الصحية في جمهورية التشيك.

خريطة تظهر انتشار هجمات القرصنة المرتبطة بفيروس كورونا وحجم هذه الهجمات بالنسبة للدول.
مصدر الصورة: مايكروسوفت

الخوف من كورونا: أسهل وسيلة لهجمات الاصطياد

يعتمد القراصنة على الكثير من الطرق من أجل الإيقاع بالضحايا، وبشكلٍ أساسيّ، يعتبر أسلوب الاصطياد (Phishing) من أكثر الأساليب المتبعة في عمليات القرصنة، وهو طريقة قديمة-جديدة لا تزال تجد فعالية كبير، وذلك بسبب بساطة مبدأها الذي يعتمد على خداع الضحية ودفعه للنقر على رابطٍ يتضمن برمجيةً خبيثة، قد تؤدي لتنصيب برنامج على جهاز الضحية بهدف سرقة معلوماته أو حتى السماح للقراصنة بالتحكم في جهازه. تعتمد هجمات الاصطياد دوماً على عامل الخوف، أي أن دفع الضحية للنقر على الرابط الخبيث أو فتح ملفٍ ما أو الدخول لموقعٍ مقرصن يجب أن يتم عبر إخافته من حدوث أمرٍ سيئ له، مثل انتهاء تفعيل حسابه في خدمةٍ ما، أو تجميد رصيده البنكيّ أو حتى الادعاء الكاذب بأن معلوماته قد سُرقت وأنه يجب أن يقوم بتجديد كلمة السر الخاصة به. مع انتشار فيروس كورونا المستجد، سجلت العديد من الهيئات والشركات المختصة بالحماية والأمن الرقميّ تزايداً كبيراً في هجمات الاصطياد المرتبطة بالفيروس، بمعنى أن القراصنة يحاولون استثمار الخوف المتولد لدى البشر من أجل الإيقاع بهم ودفعهم للنقر على روابط خبيثة. هذا الأمر يتم عبر عدة طرق: 

  • البريد الإلكتروني: وهو الوسيلة القديمة-الجديدة لهجمات الاصطياد. بحسب تقريرٍ أمني من شركة مايكروسوفت، فإن معدل هجمات الاصطياد ككل لم يتزايد مع انتشار فيروس كورونا، وإنما تم تسجيل تحوّل كبير في طبيعة رسائل الاصطياد، التي أصبحت تركز على خوف المستخدمين وحاجتهم لمعلوماتٍ وتطميناتٍ حول الفيروس والمرض المنتشر حوله. بحسب التقرير، تم تسجيل حصول هجمات اصطياد ذات مضمون مرتبط بفيروس كورونا في 241 دولة حول العالم، وما يقوم به القراصنة هو محاولة إقناع المستخدم أن البريد مرسل من جهةٍ ذات وثوقية، وذلك عبر تضمينه بصورٍ أو شعاراتٍ للهيئات الصحية الموثوقة، مثل منظمة الصحة العالمية أو المراكز الأميركية لمكافحة الأمراض والوقاية منها (CDC)، وما يتم هو عنونة البريد الإلكتروني بكلماتٍ مفتاحية مرتبطة بالفيروس ومن ثم تضمينه برابطٍ خبيث أو ملفٍ نصيّ (قد يكون بصيغة بي دي إف PDF أو ملف وورد word). يتم تضمين هذه الملفات بترويساتٍ خبيثة (Malicious Macros) تقوم بتحميل برمجياتٍ أخرى عند فتح الملف، تتيح إما التحكم في جهاز الضحية أو سرقة معلوماته أو حتى إجراء أمورٍ مثل تشغيل الكاميرا والمايكروفون وأخذ لقطاتٍ للشاشة دون علم المستخدم. بلغة الأرقام، تقول مايكروسوفت إنه يتم ضبط حوالي 60 ألف بريد إلكتروني خبيث بشكلٍ يوميّ يهدف لاستغلال أزمة فيروس كورونا للإيقاع بالمستخدمين.

    يعتمد القراصنة على خداع المستخدمين عبر إقناعهم أن البريد الإلكترونيّ من جهةٍ موثوقة، وذلك لإجبارهم على الضغط على الملفات المرفقة التي تتضمن برمجياتٍ خبيثة. على اليسار صورة لبريد إلكتروني خبيث عادةً ما يتم استخدامه قبل أزمة كورونا، وعلى اليمين صورة لبريد إلكتروني خبيث يعتمد على نفس الطريقة ولكن عبر استغلال جائحة فيروس كورونا.
    مصدر الصورة: مايكروسوفت.

  • استغلال احتياجات المستخدمين: بالإضافة للبريد الإلكتروني، يستغل القراصنة حاجة المستخدمين للحصول على آخر المعلومات والتحديثات الخاصة بالفيروس، لذلك قام الكثيرون بإنشاء روابط وعنواين خبيثة تهدف أيضاً لنشر البرمجيات الخبيثة، وبحسب مايكروسوفت، تم رصد حوالي 18 ألف رابط وعنوان إلكتروني خبيث مرتبط بالفيروس. 
  • تسجيل الدخول المزيف: هو وسيلةٌ أخرى قد يتم استخدامها للإيقاع بالمستخدمين، مثل عرض صفحة تسجيل مزيفة مشابهة لصفحة تسجيل الدخول لخدمة أوفيس 365 من مايكروسوفت، حيث رصدت الشركة تزايداً كبيراً بهذا النوع من هجمات الاصطياد خصوصاً بعد الإعلان عن حملات دعم حكومي التي قد تتطلب من المستخدمين إدخال بيانات معينة، وهنا يحاول القراصنة استغلال هذه الأمور من أجل سرقة بيانات دخول المستخدمين. 
  • العناوين الإلكترونية المرتبطة بفيروس كورونا: هي من الوسائل المستخدمة حالياً على نطاقٍ واسع. بحسب شركة الحماية والأمان تشيك بوينت (Check Point)، تم رصد تزايد كبير جداً في الهجمات الرقمية المعتمدة على الخداع المرتبط بفيروس كورونا، وذلك بدءاً من منتصف شهر مارس 2020. وما أظهرته بيانات الشركة هو اعتماد القراصنة على المواقع التي تحمل في اسمها أموراً مرتبطة بالفيروس أو المرض الناتج عنه، مثل الكلمات المفتاحية corona أو covid. بلغة الأرقام، تم إنشاء حوالي 51 ألف موقع جديد بدءاً من شهر يناير مرتبطة بفيروس كورونا، وخلال أسبوعين فقط تم إنشاء 30 ألف موقع جديد مرتبط بالفيروس، ونسبة قليلة من هذه المواقع تم تصنيفها على أنها خبيثة، وتحديداً 0.4% من المواقع، في حين تم تصنيف حوالي 9% من هذه المواقع على أنها ذات سلوك مريب وتتطلب تحقيقاً إضافياً للتأكد من كونها خبيثة أم لا. هدف هذه المواقع هو سرقة بيانات المستخدمين عبر الإيحاء بكونها مرتبطة بخدماتٍ معينة، مثل خدمة البث الشهيرة نتفليكس، وذلك عبر الإعلان عن عروض غير حقيقية مثل اشتراكات مجانية لفترةٍ طويلة أو حسوماتٍ معينة وغيرها.

التزايد الكبير في عدد الهجمات اليومية المرتبطة بفيروس كورونا.
مصدر الصورة: Check Point

لا تقتصر الأساليب المتبعة في الإيقاع بالمستخدمين عبر هجمات الاصطياد على البريد الإلكتروني والروابط والعناوين الخبيثة، بل تمتد أيضاً لتشمل تطبيقات الهواتف الذكية، حيث رصدت شركة تشيك بوينت في تقريرٍ آخر لها حول التطبيقات الخبيثة انتشارَ عددٍ كبيرٍ من البرمجيات الخبيثة المخبأة ضمن تطبيقاتٍ مرتبطة بفيروس كورونا، وبذلك -وعبر تحميل التطبيقات وتفعيلها- سيكون بالإمكان إجراء الكثير من الأمور، مثل إغراق المستخدم بالإعلانات المختلفة، أو سرقة بياناته الشخصية إو إجراء عمليات الابتزاز بطلب الفدية أو حتى التحكم في هاتفه عن بعد. لا تتوفر هذه التطبيقات عادةً ضمن متجر بلاي الخاص بهواتف أندرويد، بل يتم تداولها عبر متاجر الطرف الثالث غير الرسمية أو مواقع تحميل التطبيقات التي تتيح للمستخدمين تحميل ملفات بصيغة apk بشكلٍ مباشر وتنصيبها على هواتفهم. وبحسب تقريرٍ آخر لشركة لوكآوت Lookout، تم رصد تطبيق خبيث يدعى Corona live 1.1، يوفّر للمستخدمين معلوماتٍ موثوقة حول أعداد المصابين والوفيات المرتبطة بالفيروس والمبنية على إحصائيات جامعة جونز هوبكنز، ولكن ما لم يعلمه المستخدمون أن هذا التطبيق يعمل في الخلفية على تعقبهم وتشغيل الكاميرا الخاصة بالهاتف دون علمهم. بشكلٍ عام، فإن التطبيقات الخبيثة المرتبطة بفيروس كورونا تعتمد على تقليد تطبيقاتٍ وخدماتٍ موثوقة، وكمثال، فإن تطبيق Corona live 1.1 الخبيث هو تقليد لتطبيق Corona live الموثوق والمستخدم على صعيدٍ واسع لتتبع حالات الإصابات بالفيروس. 

لا يوجد هنا مساحةٌ كافية لذكر كافة نشاطات القرصنة التي تهدف لخداع المستخدمين، ولكن الصورة أصبحت واضحة: البقاء في المنزل والخوف المصاحب من انتشار فيروس كورونا قدم فرصةً مثالية للكثيرين لاستغلال هذا الوضع وشن هجمات رقمية عبر طرقٍ مختلفة، من البريد الإلكتروني للروابط والعناوين الخبيثة وصولاً لتطبيقات الهواتف الذكية.

العمل عن بعد: مخاطر متزايدة على الشركات

أصبح الابتعاد الاجتماعي هو نمط الحياة السائد في زمن انتشار فيروس كورونا، وهو الأمر الذي فرض على الجميع قضاء ساعاتٍ طويلة في المنزل، وهو الأمر الذي انطبق أيضاً على الموظفين الذين انتقلت أعمالهم أيضاً معهم إلى المنزل. هذا كله ساهم في خلاصةٍ واحدة: قضاء المزيد من الوقت على الإنترنت. لماذا يشكل هذا الأمر مشكلةً متزايدة؟

تحرص معظم الشركات على تحصين أنظمتها بشكلٍ جيد ضد مخاطر الاختراق والهجمات الرقمية، وعند عمل الموظفين داخل الشركة، فإن هنالك درجة عالية من الحماية والأمان المؤمنة عبر البنية التحتية لشبكة المعلومات المستخدمة. هذا الوضع لن يبقى على حاله عندما يذهب الموظفون لمنازلهم: الآن سيتم الاعتماد على شبكات الإنترنت المنزلية وعلى إجراءات حماية أضعف من تلك المتوافرة داخل الشركة، وبالتالي فإن خطر الاختراق سيرتفع. الأمر السيئ فعلياً بهذا الصدد أن الموظفين يريدون الوصول لشبكة المعلومات الخاصة بالشركة من منازلهم، وفي حين أن استخدام الشبكات الافتراضية الخاصة VPN سيساهم بتأمين قناة اتصال آمنة بين حاسب الموظف في المنزل ومخدمات الشركة، إلا أن وجود الموظف نفسه في المنزل واستخدامه لشبكة الإنترنت المنزليّ هو بحد ذاته مصدر قلق؛ فقد يتم استخدام حاسوب الشركة لأغراضٍ شخصية، ويقع الموظف في خطأ بسيط لأي سببٍ من الأسباب، مثل الضغط على رابطٍ خبيث أو فتح ملفات مقرصنة مرفقة برسائل البريد الإلكتروني. وفي هذه الحالة، وعلى الرغم من أن قناة الاتصال بين الحاسب وشبكة معلومات الشركة محمية، فإن هذا لم يوفر حمايةً كاملة طالما أن الحاسب نفسه قد يتعرض للقرصنة. بحسب خبير وأخصائي الحماية السيبرانية توم كيلرمان، فإنه من الأسهل بكثير استهداف مستخدمٍ يعمل عن بعد من استهداف مستخدمٍ آخر يعمل ضمن الشركة، خصوصاً أن الشبكات الافتراضية الخاصة لا تؤمن نفس درجة الحماية كتلك التي تؤمنها شبكات المعلومات الخاصة والمستخدمة ضمن بيئة الشركة، خصوصاً وأن من الصعب تحديث الشبكات الافتراضية الخاصة عند اكتشاف ثغرةٍ برمجيةٍ فيها، وذلك بسبب استخدامها بشكلٍ متواصل طوال الوقت، بخلاف الأنظمة الداخلية في الشركات التي يمكن التحكم فيها بشكلٍ أفضل وجدولة تحديثاتها على نحوٍ منتظم، فهنالك عدد ساعات عمل محددة بشكلٍ يوميّ للموظفين وهو يبدأ من الصباح وحتى المساء، وبالتالي وأثناء فترة الليل أو خلال عطلة الأسبوع سيكون بالإمكان إجراء تحديثات وصيانة لشبكة المعلومات دون تعطيل أحد. 

الأرقام تؤكد هذه الأمور: بحسب شركة في إم وير بلاك كاربون (VMWare Black Carbon)، تزايدت هجمات طلب الفدية (Ransomware) التي تستهدف الشركات بنسبة 148% خلال شهر مارس 2020، بالمقارنة مع شهر فبراير من نفس السنة؛ ويعود السبب الأساسيّ في ذلك إلى سهولة استهداف الموظفين والعاملين في الشركات كونهم لا يعملون ضمن بيئة الشركات، وبالتالي فإن عملهم ضمن المنزل ينطوي على وجود ثغرات أكبر يمكن استهدافها وتحقيق الاختراق المطلوب.

قد يشكل ما حدث مع منصة التراسل المرئي زوم Zoom مثالاً شهيراً للمشاكل المصاحبة للعمل عن بعد ومضاعفاتها من ناحية الخصوصية والحماية؛ حيث حدث اختراق واسع للاجتماعات ومكالمات العمل للمستخدمين على المنصة من قِبل أشخاصٍ غريبين، قاموا بالعديد من الأمور تبدأ بإزعاج المجتمعين وتنتهي بالتنصت على محادثاتهم وتسجيلها، فضلاً عن مشاركة بيانات المستخدمين ومعلوماتهم مع فيسبوك. شكل هذا الأمر فضيحةً كبيرة، وبالرّغم من سد الثغرة الأمنية وحلها، إلا أنها قد رفعت من شكوك المستخدمين ومخاوفهم من إمكانية إنجاز أعمالهم في المنزل وبدرجة حماية وأمان عاليتين، وبالرّغم من أن سبب مشكلة زوم هو إعداداته نفسها وليس ثغرة في شبكات الاتصال الافتراضية، إلا أن وجود هذه الثغرة في زوم تعني أن الحاسب بأكمله أو الجهاز المستخدم قد يكون مهدداً بخطر اختراق كبير، وبالتالي فإن بيانات الشركة ستكون أيضاً مهددة.

السبيل للحماية 

على الرّغم من الانتشار الكبير للهجمات المرتبطة بفيروس كورونا، إلا أن سبل الحماية والوقاية منها تتطلب اتخاذ بعض الإجراءات البسيطة التي تبدأ بالحذر والانتباه واعتماد المعلومات من المصادر والهيئات الرسمية مباشرةً، وليس من رسائل إلكترونية لا يمكن التحقق من مصدرها، وكذلك الأمر بالنسبة لتطبيقات الهواتف الذكية؛ يجب الاعتماد على المصادر الرسمية مثل متجر بلاي ومتجر آبل، وذلك لأن متاجر تطبيقات الطرف الثالث أو مواقع تحميل التطبيقات لا توفر نفس إجراءات الحماية كتلك المتوفرة على المتاجر الرسمية، وحتى بحالة المتاجر الرسمية، قد تصل بعض التطبيقات الخبيثة إليها وبالتالي فإن التحقق من وثوقية أي تطبيق قبل تحميله هو أمرٌ ضروري. 

وكجزءٍ من الجهود الرامية لمحاربة هجمات الاصطياد عبر البريد الإلكترونيّ، أصدرت منظمة الصحة العالمية دليلاً كاملاً تشرح فيه كيفية أخذ الحيطة والحذر من الرسائل الإلكترونية التي تبدو وكأنها صادرة منها؛ إذ تؤكد المنظمة أنها لن تقوم على الإطلاق بالاستفسار عن المعلومات الشخصية عبر البريد الإلكتروني ولن تطلب من المستخدمين زيارة أي رابط خارج الموقع الرسمي للمنظمة أو تطلب منهم دفع أي مبلغٍ ماليّ لقاء أي خدمة، والأهم أنها لا تقوم بتنظيم أي جائزة أو مسابقة، وعلاوة على ذلك، خصصت المنظمة رابطاً موثوقاً للتبليغ عن الرسائل الإلكترونية المزيفة الصادرة باسمها. من المهم هنا تذكر أهمية عدم فتح الروابط المختلفة التي تصل ضمن رسائل تطبيقات المحادثة مثل واتساب التي تصل من جهات مجهولة وغير معروفة، والانتباه من الروابط الغريبة التي قد تصل من الأصدقاء، فقد يكونوا تعرضوا لاختراق دون معرفتهم ويتم استغلال حسابهم من أجل سرقة بيانات أصدقائهم.

بالنسبة للمستخدمين أنفسهم، فإن أبسط النصائح المتعلقة بالبريد الإلكتروني هي عدم فتح أي مرفق من بريد إلكتروني مجهول المصدر أو غير متوقع حتى لو بدا وكأنه من جهةٍ رسمية موثوقة. هنالك أيضاً رسائل البريد الإلكتروني التي تطلب من المستخدمين تجديد حساباتهم في خدمات البث مثل نتفليكس وغيرها، وهي حالياً كثيرة ومتنوعة والتي تصدر بمعظمها عن قراصنة يريدون سرقة بيانات المستخدمين. إن بدا البريد الإلكتروني وكأنه صادر بالفعل من خدمةٍ موثوقة -مثل نتفليكس- فإن ما يمكن القيام به هو التأكد من عنوان المرسل والتحقق بالفعل من أنه من الخدمة المعنية، وذلك قبل النقر على أي رابط أو فتح أي ملف.