وقفة تحليلية لحادثة رسالة الاصطياد الموجهة لعملاء أحد البنوك السعودية

قبل أن أبدأ التحليل حول حادثة رسائل الاصطياد الالكترونية Phishing E-mail الموجهة لعملاء أحد البنوك السعودية خلال الأسبوع الماضي، دعوني أولاً أُبين الحادثة لمن لم يسمع بها.انتشرت يوم الاثنين (26/11/1426ه) رسالة الكترونية (e-mail) انتحلت موقع بنك سعوديً محتواها كالتالي:
عميلنا العزيز،...يود قسم الأمان في البنك لدينا أن يخبرك بأنه تم اتخاذ بعض الإجراءات للارتقاء بمستوى الأمان في تعاملاتك البنكية عبر الإنترنت، وذلك لمواجهة المحاولات المستمرة لاختراق الحسابات البنكية بصورة غير قانونية. للوصل إلى النسخة الأكثر أماناً من منطقة العملاء، يرجى اجتياز عملية الترخيص....انقر هنا للانتقال إلى صفحة الترخيص...نود أن نحيطكم علماً بضرورة التعامل مع إجراءات الأمان الجديدة بصورة جدية للغاية والاطلاع عليها الآن.....مع أطيب الأمنيات،....قسم الأمان.
بعد النقر على الرابط المرفق مع الرسالة يتم الانتقال للموقع المحتال والذي يبدو بشكله موقع البنك الأصلي، الموقع يطلب المعلومات الاعتيادية للدخول وهي اسم المستخدم وكلمة المرور ورقم الهوية، بعد الإدخال يتم الانتقال مباشرة لصفحة البنك الرئيسية بعد ما حصل المحتال على المعلومات الكافية للوصول لحسابك في ذلك البنك.
العنوان المزيف تم تسجيله في اليوم السابق للهجوم فقط في تايوان ثم قام بإنشاء موقع مشابهه تماماً لموقع البنك السعودي ثم قام بنشر رسائل هائلة مستهدفاً المستخدمين السعوديين، وكل المحتال أمل في الحصول على أسماء مستخدمين وكلمات مرور لبعض الضحايا والتي قد يستفيد من استخدامها للوصول لحساباتهم وتحويل مبالغ منها للخارج.
ملحوظات حول الحادثة:
أولا: الحقيقة أني كنت قد كتبت مقالاً قبل الحادثة عن رسائل الاصطياد وذكرت مثالاً حقيقياً لرسالة موجهة لعملاء احد البنوك الأمريكية، ولكن عندما شاهدت رسالة الأسبوع الماضي قررت أن أعيد كتابة المقال من جديد نظراً لاختلاف سياق المقال، حيث كان المقال الأول يركز على التحذير والتوعية من هذه الظاهرة والتي قد نواجهها مستقبلاً. لكن الآن ومع هذه الحادثة فانه يلزمنا الانتقال من حالة التوعية إلى حالة التأهب والاستعداد ومواجهة تلك الظاهرة الخطيرة, خاصة وأنها موجهة لقطاع البنك بشكل كبير. بناء على إحدى الإحصائيات المتخصصة فإن متوسط عدد الحالات الجديدة في كل شهر 12000 حالة. في حين بلغ متوسط عدد مواقع الاصطياد الجديدة على الانترنت في كل شهر 3000 موقع، وكانت نسبة تقمص الشركات المالية (منها البنوك) قد تجاوزت 81٪ من أنواع الاصطياد.
ثانياً: إن ما يميز هذه الرسالة عن غيرها من رسائل الاصطياد هو كون الرسالة مكتوبة باللغة العربية ومنتحله بنكاً سعودياً.
ثالثاً: بعد التحري، وُجِد أن الموقع المحتال مسجل ومستضاف في تايوان وبيانات المُسجِل تشير انه من سكان الولايات المتحدة الأمريكية، إلا أننا ومن تلك البيانات لا نستطيع الجزم بجنسية المحتال. لكن يمكننا الجزم بعد هذه الحادثة أننا أصبحنا في السعودية محل الاستهداف من هذا النوع من الاحتيال ولابد من العمل الفوري للتصدي لمثل هذه الظاهرة.
رابعاً: ما لفت انتباهي هو ردة الفعل العالية المستوى والتي يجب الوقوف عندها وإسداء الشكر والتقدير لكل من مؤسسة النقد العربي السعودي ووحدة خدمات الانترنت بمدينة الملك عبدالعزيز للعلوم والتقنية على ما فعلتاه لردم هذا الخطر في فترة وجيزة، وذلك في حجب ذلك الموقع عند الساعة العاشرة صباحاً من يوم الأحد للحد من اصطياد الضحايا. كذلك أوجه الشكر لجميع مديري الأنظمة (Systems Administrators) في المنظمات السعودية المختلفة الذين تنبهوا للخطر في وقت مبكر وقاموا بحجب الموقع أو الرسالة أو إرسال رسالة تحذيرية لموظفيها كما فعل قسم الحاسب لدينا في كلية علوم الحاسب الآلي والمعلومات عندما حجب وصول الرسالة نفسها للمستخدمين ثم قام بإرسال رسالة تحذيرية للمستخدمين من خطر هذه الرسالة.
خامساً: بعد ردم هذا الخطر بواسطة آلية حجب المواقع في مدينة الملك عبدالعزيز للعلوم والتقنية تبين أن لهذه الآلية منفعة أخرى وهي حجب المواقع التي قد تسبب خطر امني معلوماتي مثل هذا الموقع المحتال، ولعل هذا الحدث يقودنا إلى التفكير في استغلال هذه الآلية بشكل اكبر للحد من بعض المخاطر الأمنية المختلفة.
سادساً: تم ردم الخطر بواسطة آلية الحجب في المدينة وقد عادة الفائدة لمستخدمي الانترنت النظاميين (المستخدمين الذين يعبرون للانترنت بواسطة مدينة الملك عبدالعزيز للعلوم والتقنية)، لكن ماذا عن باقي عملاء ذلك البنك الذين لا يستخدمون الطريقة النظامية للعبور للانترنت؟
ما هي الخطوات القادمة
أولا: نحتاج إلى تطوير إجراءات محددة لتعاون الجهات المختلفة لمكافحة مثل هذا الخطر وغيرها من الإخطار المتعلقة بأمن المعلومات.
ثانياً: لابد من توعية المستخدمين بهذه المخاطر الأمنية وتبيين طرق الوقاية والعلاج.
ثالثاً: لابد من توعية مديري الأنظمة (system Administrators) في الجهات المختلفة بالمخاطر الأمنية المختلفة وتحديد آلية معينة ومدروسة بعناية لتطبيقها عند حدوث أي من تلك المخاطر.
رابعاً: لعل استخدام عنواناً (نطاقاً) سعودياً بامتداد .sa يساعد في تقليل مخاطر الاصطياد نظراً لتدقيق التسجيل في هذا النطاق، وكذلك لسهولة التفريق بين النطاقات الصحيحة من المزيفة والتي عادةً ما تعتمد على النطاقات الدولية التي لا تخضع لشروط مشددة مثل نطاقات الدول.
خامساً: لابد من التحرك بسرعة لمواجهة الأخطار الأمنية المعلوماتية، خاصاً ونحن مقبلون على تطبيق المعاملات الحكومية الالكترونية والتي قد تتعرض سلباً جرّاء ضعف التواجد الأمني المعلوماتي عند تطبيق تلك المعاملات.
سادساً: أساليب الاصطياد لا تقف عند الرسائل الالكترونية بل تتعداها إلى استخدام طرق أخرى مثل المكالمات الهاتفية، لذا يجب الحذر من جميع طرق الاصطياد وتوعية الناس عن خطرها.
سابعاً: لابد من قيام مركز سعودي لأمن المعلومات يقوم بكل ما جاء في التوصيات السابقة، وليكون من ضمن مهامه تطوير البحث العلمي في مجال أمن المعلومات فيما يختص في وضعنا في السعودية.
٭ استشاري أمن المعلومات
جامعة الملك سعود