كيفية محاربة المهاجمين عبر الإنترنت
تشير عناوين الأخبار الأخيرة إلى أننا نعيش حاليًا في دوامة للأمن السيبراني . يتم اختراق المؤسسات الخاصة والعامة ، الكبيرة والصغيرة ، كل أسبوع تقريبًا. في هذا الشهر فقط ، عانى البرلمان النرويجي من هجوم إلكتروني أثر على وزراء الحكومة وقادة المعارضة ، مما أظهر مدى سهولة استهداف المتسللين لمن هم في مواقع نفوذ. تشمل المحاولات الأخرى على المنظمات المعروفة هذا العام واحدة على منظمة الصحة العالمية في مارس ، وهجمات مجموعة القرصنة الروسية APT29 على مراكز أبحاث الفيروسات في بريطانيا في يوليو.
إن الوباء هو السبب الرئيسي لهذا الارتفاع المزعوم في النشاط الإجرامي. إنه وضع غير معتاد بالنسبة للمجتمع البشري ، وهو شيء لم نتعامل معه في الذاكرة الحية. نحن غير متأكدين مما سيأتي ، حتى الآن. وكما نعلم جميعًا ، غالبًا ما تثبت فترات عدم اليقين المطولة أنها نقطة فاصلة لموجة الصيد عبر الإنترنت. الشيء الوحيد الذي لم يتغير هو أساليب مجرمي الإنترنت في الهجوم. في الواقع ، تشير أبحاث Microsoft إلى أن هجمات البرمجيات الخبيثة المرتبطة بفيروس كورونا كانت "بالكاد مجرد إشارة ضوئية" في الحجم الإجمالي للتهديدات التي تراقبها. على الرغم من أن التهديدات كانت أكثر تكرارًا مما كانت عليه في يناير وفبراير ، إلا أن مشهد التهديدات عاد الآن إلى "أنماط التصيد الاحتيالي المعتادة وتسوية الهوية".
مع وضع هذا في الاعتبار ، أردنا فحص تقنية التسلل المفضلة للمهاجمين - التصيد الاحتيالي واختيار البرامج الضارة الشائعة - برامج الفدية .
يمكنك تغيير الطُعم ، لكنه لا يزال تصيدًا
احتياليًا
وفقًا لـ Verizon 2020 DBIR ، يظل التصيد الاحتيالي الشكل الأول للخرق الاجتماعي. إن أفضل المهاجمين الإلكترونيين بارعون أيضًا في فهم أنماط السلوك البشري. إنهم يتتبعون عاداتنا عبر الإنترنت ، ثم يستخدمونها لدعم هجماتهم. وطالما ظل البشر عرضة للإقناع والخطأ - وهي سمات متأصلة في حمضنا النووي - فسوف يستمر نجاح التصيد الاحتيالي. ومع ذلك ، فإن الطريقة وراء كل هجوم أو حملة هي نفسها في أغلب الأحيان. يحتاج المهاجمون فقط إلى "إعادة تشكيل" تكتيكاتهم لتتماشى مع قصة اليوم.
أحد الأمثلة على ذلك هو حملة التصيد الأخيرة التي استخدمت Microsoft 365 لاستهداف كبار المديرين التنفيذيين في أكثر من 150 شركة. الهجمات باستخدام Microsoft 365 ليست شيئًا جديدًا ، لكن هذه المرة استخدم المهاجمون نظرة ثاقبة بسيطة لصالحهم: معظم أهدافهم سيعملون من المنزل .
في الأشهر الأخيرة ، كان المجرمون يستهدفون رموز الوصول المؤقتة التي تسمح للمستخدمين بتسجيل الدخول إلى جميع تطبيقات Microsoft. إن سرقة واستخدام هذه الرموز المؤقتة يسمح للقراصنة بتجاوز المصادقة متعددة العوامل (MFA) والبقاء على الشبكة عن طريق تحديث الرمز المميز الذي قاموا بالاستيلاء عليه "بشكل شرعي". حتى إذا قام المستخدم بتغيير كلمة المرور الخاصة به ، يظل الرمز المميز صالحًا ولا يمكن إلغاؤه.
زاوية أخرى للهجوم هي من خلال تطبيقات التعاون - مثل Microsoft Teams و Slack و Zoom ، والتي أصبحت واجهة أساسية للمؤسسات خلال هذه الفترة. لاحظ المهاجمون هذا التغيير في السلوك وأضافوا هذه التطبيقات المستندة إلى السحابة إلى قائمة التصيد الاحتيالي الخاصة بهم ، باستخدام نفس الأساليب العامة التي استخدموها مع البريد الإلكتروني منذ بدء القرصنة.
لماذا ا؟ نظرًا لأن المجرمين يمكنهم بسهولة توزيع الملفات الضارة والرموز وحتى ملفات GIF داخل تطبيقات SaaS هذه ، مما يسمح لهم بكشط بيانات المستخدم وسرقة بيانات الاعتماد والاستيلاء على حسابات على مستوى المؤسسة. يمكن للمجرمين تغيير الطُعم ، لكنه لا يزال تصيدًا احتياليًا. وطالما استمرت هذه الأساليب في النجاح ، سيعتمد المهاجمون عليها. تعد حماية بيانات الاعتماد للدفاع ضد الهجمات مثل تلك التي تستخدم Microsoft 365 أمرًا حيويًا.
عقد البحث للحصول على فدية
يجب أن تخشى كل منظمة هجوم فدية ناجح. يمكن أن تسبب أضرارًا جسيمة ، وغالبًا ما تسبب أسابيع من التوقف عند استهداف المؤسسات المهمة. وقد ميز الوباء ذلك ، حيث تعرضت المستشفيات ومراكز الرعاية الصحية لهجمات عديدة. تعد هجمات برامج الفدية خيارًا جذابًا لسلاح مجرمي الإنترنت حيث غالبًا ما تدفع المنظمات الضحية فدية ضخمة. ليس لديهم خيار إذا تم اختراق بياناتهم بنجاح ولم يقوموا بعمل نسخة احتياطية لها بشكل استباقي.
خلال الوباء ، وسع المهاجمون أنظارهم إلى قطاع جديد - البحث والتطوير وشركات التكنولوجيا الحيوية التي تعمل بسرعة لإيجاد علاج لفيروس كورونا. كما ذكرنا سابقًا ، حاولت مجموعة القرصنة الروسية APT29 مؤخرًا اختراق أحد مختبرات أبحاث فيروس كورونا في المملكة المتحدة ، وفقًا لأجهزة الاستخبارات. بينما يتنافسون مع دول أخرى لإيجاد علاج وإبلاغ استجابة بلدهم ، يستهدف مهاجمو APT التابعين للدولة القومية أجهزة العمال بحثًا عن أوراق اعتماد مميزة لتأسيس موطئ قدم. من هناك يمكنهم التحرك بشكل جانبي ، والحفاظ على المثابرة على الشبكة ، وسرقة الأبحاث الحساسة شيئًا فشيئًا. في بعض الحالات ، قد ينتظرون أسابيع أو حتى أشهر للحصول على "اللحظة المثالية" لنشر برامج الفدية لمزيد من استغلال المنظمات المتضررة.
تعتبر مؤسسات البحث والتطوير والتكنولوجيا الحيوية معرضة للخطر بشكل خاص ، لأنها لم تكن هدفًا شائعًا في الماضي ، ولا يزال العديد منها ينضج برامج الأمان الخاصة بهم. لا يملك الكثيرون أيضًا الميزانية لتكريسها للأمن الذي تفعله الشركات الكبيرة. ولكن في حين أن هذه الصناعات قد تكون الهدف المألوف الآن ، فلا توجد منظمة في مأمن من برامج الفدية ، والتي تزداد شعبيتها فقط بسبب عادات العمل من المنزل المحفوفة بالمخاطر وزيادة استخدام برامج الفدية كخدمة.
وفوق كل شيء ، فإن السرد هو الذي تغير كثيرًا. تم تضخيم الحوادث والانتهاكات الأمنية المرتبطة بـ COVID-19 من خلال التغطية الإخبارية المحمومة والثرثرة المستمرة على وسائل التواصل الاجتماعي. ينجذب الجمهور المتعطش للمعلومات والتحديثات إلى الدراما. نتيجة لذلك ، أصبح الأمان الآن في طليعة المحادثة.
التعلم من الوباء
ما زلنا في المراحل الأولى للتعلم من أخطائنا أثناء الوباء. هذا لا يعني أنه لا يمكننا التعلم من دروس الأمان للأشهر الستة الماضية. من المهم أن نأخذ ما نعرفه ونستخدم المعرفة للتكيف بسرعة وكفاءة. يجب إعادة النظر في ممارسات الأمان ، مع التركيز بشكل خاص على التهديدات التي يمثلها التصيد الاحتيالي والبرامج الضارة. لا توجد منظمة مستثناة من فحص المهاجمين ، مهما كانت في هذا الوقت الذي نعيش فيه.