Article image




يلجأ قراصنة المعلومات لاستخدام العناوين الإخبارية والفوضى العالمية كأدوات لإحداث اختراقات أمنية.

2020-06-07 10:57:12

14 مارس 2020

يستغل القراصنة الإجراميون والممولون من الحكومات من كافة أرجاء العالم وباء كورونا المتفشي في التجسس على الخصوم، وفقاً لعدة شركات استخبارية متخصصة بالتهديدات الأمنية السيبرانية. ففي الأسابيع الأخيرة، قامت مجموعات القرصنة المتحالفة مع الحكومتين الصينية والروسية- من بين آخرين- بإرسال مرفقات بريدٍ إلكتروني خبيثة على أنها محتوى عن الفيروس.

الحكومات

أفادت شركتا الأمن السيبراني فايرآي FireEye وتشيك بوينت Check Point منذ أيام بأن مجموعتي قرصنة متحالفتين مع الحكومة الصينية استهدفتا فيتنام والفلبين وتايوان ومنغوليا. ووفقًا لما ذكره بن ريد، وهو أحد كبار محللي الاستخبارات في فايرآي، يقوم القراصنة بإرسال مرفقات بالبريد الإلكتروني تحتوي على معلوماتٍ صحية حقيقية حول فيروس كورونا، ولكنها تتضمن أيضاً برمجيات خبيثة مثل Sogu وCobalt Strike.

وأوضح ريد أن “الإغراءات كانت عبارة عن تصريحاتٍ رسمية أدلى بها قادةٌ سياسيون أو نصيحةً حقيقية لأولئك المتخوفين من المرض، والتي تم اقتباسها غالباً من مصادر عامة”.

قامت مجموعة روسية تعرف باسم TEMP.Armageddon بإرسال رسائل بريد إلكتروني للتصيد الموجَّه إلى أهدافٍ أوكرانية. والتصيد الموجَّه هو عبارة عن تكتيكٍ يستخدمه القراصنة لإرسال روابط ضارة مصممة خصيصًا لخداع الأشخاص المستهدَفين ودفعهم للنقر على الروابط، مما يؤدي إلى إصابة أجهزتهم من دون أن يدركوا ذلك.

كما يشك محللو فايرآي في أن قراصنةً كوريين شماليين هم من يقف وراء هجومٍ من هذا النوع حدث مؤخراً ضد هدفٍ كوري جنوبي. وقد تضررت كوريا الجنوبية- على غرار الصين- بشكلٍ كبير من تفشي المرض. وكان عنوان رسالة بريد التصيد الإلكتروني باللغة الكورية هو “مراسلات فيروس كورونا”.

قال لوتيم فينكلستين، رئيس استخبارات التهديدات في تشيك بوينت: “أنت تتوقع تلقي المعلومات من مصادر حكومية، لذلك من المرجح أن تفتح وتنفِّذ الملفات المرفقة حتى تطلع على ما تحتويه، مما يجعل من هذا الأمر مفيداً للغاية في شن هجوم سيبراني. إن تفشي فيروس كورونا يحقق منفعة كبيرة للجهات الخبيثة الفاعلة في مجال التهديد الأمني، وخاصة أولئك الذين يعتمدون على التصيد المعلوماتي لإطلاق هجماتهم”.

المجرمون

بالإضافة إلى النشاط المستمر من قبل القراصنة الذين ترعاهم الحكومات، فإن المجرمين السيبرانيين يستغلون هم أيضاً فوضى الأحداث الجارية. ففي السابق، استغل القراصنة الهلع المرافق لانتشار فيروسات إيبولا وزيكا وسارس لكسب المال.
وقالت فايرآي في بيان صحفي: “لقد شهدنا قيام جهات مدفوعة بغاية كسب المال باستخدام التصيّد المعلوماتي تحت عنوان فيروس كورونا في العديد من الحملات، فقد لاحظنا زيادةً كبيرة في حجم هذه الحملات على مدار الأشهر منذ يناير وحتى اليوم”. ويتابع البيان: “نتوقع استمرار المهاجمين الانتهازيين والمدفوعين بحوافز مالية في استخدام الإغراء المتعلق بفيروس كورونا وذلك بسبب الأهمية العالمية للموضوع”.

وحسب تقييم الباحثين في شركة الاستخبارات السيبرانية ريسك آي كيو RiskIQ، فإن الأشخاص المستهدَفين “قد كثفوا اهتمامهم بالأخبار والتطورات المتعلقة بالفيروس، مما جعلهم أكثر عرضةً للهندسة الاجتماعية التي تخدعهم للنقر على الروابط الخبيثة”.

وعلى الرغم من البساطة النسبية لهذه الهجمات، فإن التصيد المعلوماتي- أي إرسال رابط أو ملف يهدف إلى إصابة جهاز أي شخص ينقر عليه- هو أكثر أنواع الهجمات شيوعًا ونجاحًا عاماً بعد عام. فقد قام القراصنة الذين يحاولون الاستفادة من فيروس كورونا باستهداف الأفراد والشركات على حدٍّ سواء باستخدام رسائل البريد الإلكتروني المزيفة التي تدعي أنها قادمة من منظماتٍ موثوقة مثل مراكز السيطرة على الأمراض (CDC) ومنظمة الصحة العالمية.

حيث تدعي رسائل البريد الإلكتروني التصيدية بأنها تحتوي على كل شيء بدءاً من المعلومات المتعلقة بالعلاجات ووصولاً إلى المعدات الطبية. بينما في الحقيقة، فهي تهدف إلى إيصال البرمجيات الخبيثة إلى أجهزة الضحايا أو سرقة كلمات مرورهم في محاولةٍ للاستفادة مادياً من هذه الفوضى.

يبحث المتسللون عن أهداف في جميع أنحاء العالم، لكن البعض قد ركزوا جهودهم على البلدان الأكثر تضرراً. ففي إيطاليا، التي شهدت حتى الآن أسوأ موجةٍ للمرض خارج آسيا، تعرضت الشركات للاستهداف بحملة تصيد. وشملت هذه الحملة على رسائل بريد إلكتروني مزيفة تدعي أنها صادرة عن منظمة الصحة العالمية وتزعم أنها تحتوي على إجراءاتٍ وقائية يمكن للإيطاليين اتخاذها وذلك ضمن مستند ميكروسوفت وورد، ولكنها في الواقع ستقوم بتنزيل برنامج حصان طروادة مصرفي يسمى Trickbot يهدف إلى سرقة مبالغ ضخمة من المال.

ورغم أن مرسل البريد الإلكتروني يدعي أنه من منظمة الصحة العالمية، إلا أن نطاق بريده الإلكتروني لا يتطابق مع موقع who.int الخاص بالمنظمة. كما شهدت اليابان، وهي دولةٌ أخرى تواجه تفشياً كبيراً، حملات قرصنة استهدافية تتظاهر بتقديم معلوماتٍ عن فيروس كورونا صادرة عن السلطات الصحية.

وقد كتب باحثون من شركة بروف بوينت Proofpoint السيبرانية أن “المهاجمين يقوضون مصداقية الشركات الداخلية في هجماتهم، لقد شهدنا حملةً تستخدم رسالة بريد إلكتروني ذات صلة بفيروس كورونا وتم تصميمها لتبدو وكأنها رسالة داخلية صادرة من رئيس الشركة إلى جميع الموظفين… وكانت هذه الرسالة متقنة الإعداد وتسرد الاسم الصحيح لرئيس الشركة”.

أفضل رهان

أصبحت لوحات المعلومات على الإنترنت المعيار الفعلي لنسبة الأشخاص في العالم الذين يتتبعون انتشار هذا المرض. حيث يتم تداول لوحات المعلومات الخبيثة التي تطالبك بتنزيل تطبيق لنشر برمجيات AZORult الخبيثة على نظام التشغيل ويندوز والتي تسرق البيانات الشخصية والمالية والعملات المشفرة وأي شيء آخر ذي قيمة من الجهاز المصاب. إنها ليست المرة الأولى-  ولن تكون الأخيرة- التي يستغل القراصنة فيها الأخبار الرئيسية والمشاعر المتأججة لمحاولة خداع الضحايا.

إن أفضل دفاع هو إبقاء أجهزتك التكنولوجية محدثة، ولا تقم بتنزيل البرامج أو النقر على الارتباطات القادمة من أشخاص غير معروفين، والتزم بمصادر موثوقة للحصول على الأخبار حول الموضوعات المهمة.