التحذير من عمليات احتيال جديدة باستعمال ملفات تعريف المستخدم

بعد أن كشف فريق استخباراتي عن تقنيات التضليل الخادع

حذر خبراء متخصصون في مجال أمن تقنية المعلومات من عملية احتيال جديدة تتم على ويندوز لايف كطعم للاستيلاء على المعلومات الشخصية المخزنة في ملفات تعريف المستخدمين على خدمات مثل Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger, OneDrive.
حيث يتلقى المستخدمون تحذيرات عن طريق البريد الإلكتروني تخطرهم بأن هناك من يستخدم حسابات التعريف الخاصة بهم على Windows Live لإرسال بريد إلكتروني مزعج، ولهذا السبب سيتم إيقاف حساباتهم، ثم يطلب من المستخدمين، بحجة إيقاف تعليق حساباتهم، أن يقوموا باتباع رابط معين وتحديث بياناتهم بموجب متطلبات أمنية جديدة خاصة بالخدمة. هذه الرسالة تبدو رسالة احتيال تقليدية، حيث يقوم الضحايا باتباع الروابط التي تنقلهم الى مواقع وهمية تحاكي الصفحة الرسمية لويندوز لايف، ويتم إرسال بيانات تسجيل الدخول التعريفية الخاصة بهم إلى أشخاص محتالين. ولذلك فوجئ خبراؤنا بأن الروابط المتضمنة في البريد الإلكتروني الاحتيالي تؤدي إلى موقع Windows Live بالفعل ولم تكن هناك محاولة ظاهرة للحصول على البيانات الشخصية للضحايا وكلمات السر الخاصة بهم.
كما يتم التحايل بعد اتباع الرابط في البريد الإلكتروني واتمام إجراءات تسجيل الدخول القانوني إلى حساب الموقع الرسمي live.com بنجاح، يتلقى المستخدمون طلبا غريبا من الخدمة بالموقع بالسماح لتطبيق ما بتسجيل الدخول تلقائيا إلى الحساب، وعرض معلومات الملف الشخصي وقائمة الاتصال والوصول إلى العناوين الشخصية للمستخدمين وعناوين البريد الإلكتروني الخاصة بشركتهم. لقد توصل المحتالون إلى هذه التقنية من خلال ثغرات أمنية في بروتوكول OAuth المفتوح المسؤول عن منح التفويضات.
وعندما يضغط المستخدمون على مفتاح "موافق" لا يقومون بتسليم بيانات الدخول وكلمات المرور الخاصة بهم فقط، بل يقومون أيضا بتقديم معلوماتهم الشخصية، وعناوين البريد الإلكتروني للأشخاص والجهات المسجلة لديهم وكذلك الأسماء المستعارة والأسماء الحقيقية لأصدقائهم، ومن الممكن أيضا الحصول على إذن للوصول إلى معلومات أخرى، مثل قوائم المواعيد والأحداث الهامة، وفي الغالب يتم استخدامها لأغراض احتيالية، مثل إرسال البريد المزعج إلى الأشخاص المسجلين في سجلات عناوين الضحايا أو شن هجمات لتصيد هذه المعلومات.
وصرح أندريه كوستين، محلل أول محتوى الشبكة في كاسبرسكي لاب قائلاً "لقد علمنا بوجود ثغرات أمنية في بروتوكول OAuth منذ فترة طويلة في أوائل عام 2014، ووصف أحد الطلاب من سنغافورة السبل الممكنة لسرقة بيانات المستخدم بعد التفويض بالدخول إلى الحساب، ومع ذلك، هذه هي المرة الأولى التي نتعرف فيها على محتالين يستخدمون البريد الإلكتروني لتصيد الضحايا من خلال وضع هذه التقنيات موضع التنفيذ. ويمكن للمحتالين أن يقوموا باستخدام المعلومات التي استولوا عليها لتكوين صورة تفصيلية عن المستخدمين، بما في ذلك المعلومات الخاصة بعملهم ومقابلاتهم وأصدقائهم، وغير ذلك من المعلومات الشخصية التي يمكن استخدامها لاحقاً لأغراض إجرامية".
وينصح مطوروا تطبيقات الشبكة لمواقع التواصل الاجتماعي التي تستخدم بروتوكول OAuth بتجنب استخدام وصلات إعادة التوجيه المفتوحة من المواقع الخاصة بك إلى مواقع أخرى. وإنشاء قائمة منقّحة أو محدّثة لعناوين موثوقة لإجراء عمليات إعادة التوجيه باستخدام بروتوكول OAuth، حيث من المحتمل أن يقوم المحتالون بإنشاء وصلة إعادة توجيه خفية إلى موقع إلكتروني خبيث من خلال إيجاد أحد التطبيقات التي تعرضت لهجمة احتيالية ناجحة، ثم يتم تغيير وصلة إعادة التوجيه الخاصة بذلك التطبيق.
كما يوصي الخبراء المستخدمين بعدم تتبع الروابط الواردة عبر البريد الإلكتروني أو في رسائل خاصة على مواقع شبكات التواصل الاجتماعية، وأن لا تعطي تطبيقات غير معروفة الحق في الدخول إلى البيانات الشخصية الخاصة بك، والتأكد من أنك تفهم تماما الحقوق التي تمنحها إلى كل تطبيق للوصول إلى الحسابات. وأنك إذا اكتشفت أن أحد التطبيقات قد بدأ بالفعل في توزيع رسائل مزعجة أو روابط لمواقع خبيثة نيابة عنك، يمكنك إرسال شكوى إلى إدارة موقع التواصل الاجتماعي أو الخدمة على شبكة الإنترنت، وسيتم حجب ذلك التطبيق. واحرص دائما على تحديث قواعد بيانات برنامج مكافحة الفيروسات وبرنامج الحماية المتكاملة ضد الاحتيال التصيدي.
وفي سياق آخر أصدرت إحدى الشركات المتخصصة في تقديم حلول مكافحة الهجمات الإلكترونية، تقريرها الجديد لاستقصاء التهديدات الإلكترونية بعنوان "التضليل الخادع: فاير آي تكشف تفاصيل تضليل برمجيات APT الصينية".
وقد تعاون قسم "استخبارات التهديدات" بشركة فاير آي ومركز استخبارات التهديدات التابع لشركة مايكروسوفت لإجراء بحث عن أسلوب جديد للتضليل في اتصالات (القيادة والسيطرة) C2 والذي تم استخدامه في بوابة (Microsoft TechNet) وهي بوابة إلكترونية للمتخصصين في مجال تكنولوجيا المعلومات. وقد توصلت فاير آي إلى أن برمجيات APT17 هي عبارة عن مجموعة خبيثة تمثل تهديدات متطورة ومستمرة يرجع منشأها إلى الصين، حيث يتم نشرها على المنتديات وتنشئ صفحات تعريفية لاستضافة عناوين آي بي (IP Addresses) المشفرة، ثم تقوم بتوجيه برنامج "BLACKCOFFEE" الخبيث للتسلل إلى خادم C2 الخاص بها. والجدير بالذكر أن نظام الأمن في بوابة TecNet ليس مزودا بإمكانية التعامل مع هذا الأسلوب، ويمكن لهذا الأسلوب أيضًا أن يؤثر على منتديات ولوحات أخرى.
وسُجلت سابقاً حوادث لاستهداف برمجيات APT17 لكيانات حكومية أمريكية ومنظمات دولية غير حكومية وشركات خاصة في جميع أنحاء العالم بما في ذلك قطاع الدفاع والشركات الحكومية وشركة تكنولوجيا المعلومات وشركات التعدين. وتُعد هذه المجموعة من البرمجيات بين عدد قليل من البرامج، التي تشهد تزايدًا مع مرور الوقت، التي تستخدم الأغراض المشروعة للمواقع الإلكترونية العامة لتشفير اتصالات (C2) الخاصة بتلك المواقع. ومن الملاحظة أن برمجيات APT17 كانت تستخدم في السابق محركات البحث العامة "غوغل" و "بنغ" لإخفاء أنشطتها واستضافة مواقع تابعة للمتخصصين في مجال أمن المعلومات.