إرسال رسائل البريد الالكتروني المحملة بالمرفقات الخبيثة هي إحدى الطرق المؤثرة وواسعة الانتشار لنشر البرمجيات الخبيثة وإصابة أجهزة المستخدمين.
إنها طريقة مجربة وحقيقية. سواء كان المهاجم يحاول إضافة أجهزة بشكل عشوائي لشبكة روبوتات، أو الدخول إلى شبكات الشركات عبر التصيد بالحربة (spear-phishing)، أو اختطاف حسابك المصرفي عبر الإنترنت عن طريق تروﭽان، كانت المستندات الخبيثة سلاحًا مختارًا من قِبَل المهاجمين لسنوات. مستخدمي الكمبيوتر والإنترنت باتوا أكثر وعيًا الآن مما كانوا من قبل بشأن أخطار فتح مرفقات رسائل البريد الالكتروني المشبوهة – أو حتى التي تبدو غير ضارة، سواء كان مستند وورد، أو ملفات بي دي إف، أو صور، أو أي نوع آخر من المستندات. علاوة على ذلك، فإن جميع صانعي مكافحة البرمجيات الخبيثة، ومزودي خدمة البريد الالكتروني، وصانعي متصفحات الإنترنت يقومون بتطوير ونشر تقنيات جديدة مصممة للحد من الإصابة عن طريق المرفقات. كل هذا يأتي بالإضافة إلى بيئة يقوم فيها بائعي البرامج بالتعامل مع إدارة ملفات إصلاح الثغرات على نحو أكثر فعالية من أي وقت مضى.
على الرغم من هذا، فإن أجهزة لا تعد ولا تحصى تصاب بالبرمجيات الخبيثة بسبب فتح مستندات خبيثة كل يوم. كيف يمكن أن تكون أفضل الجهود المبذولة من قبل أذكى الأشخاص في صناعة التكنولجيا غير كافية لمحاربة ناجحة لمجموعات المهاجمين الغير منظمين إلى حد كبير؟
على نطاق واسع، يُعد السبب في ذلك بسيطًا، وهو أن كثير من المهاجمين الذين يعملون بمفردهم أو ضمن مجموعات صغيرة مع أدوات مصممة خصيصًا لهم، يمكنهم التحرك بسرعة. يستجيب صناع متصفحات الإنترنت، ومزودي خدمة البريد الالكتروني، وعمالقة التكنولوجيا للتهديدات الجديدة بأقصى سرعة ممكنة، ولكن – مثل جميع المؤسسات الكبيرة إلى حد ما – تعوقهم بيروقراطية الشركات وأوجه القصور الأخرى.
لا يمكننا ببساطة أن نلوم الأعمال هنا على الرغم من ذلك. معظم المستخدمين يرفضون تثبيت التحديثات والعديد من المستخدمين يقومون بفتح المرفقات التي لا ينبغي لهم فتحها.
لا يمكننا ببساطة أن نلوم الأعمال هنا على الرغم من ذلك. معظم المستخدمين يرفضون تثبيت التحديثات والعديد من المستخدمين يقومون بفتح المرفقات التي لا ينبغي لهم فتحها.
حتى نوفيهم حقهم، فالمهاجمين ليسوا أغبياء. إنهم يراقبون الطريقة التي تستجيب بها الشركات لطرق الهجوم التي يقومون بها ويتكيفوا وفقًا لها. إنهم يجمعون المعلومات عن الأشخاص الذين يستهدفونهم من خلال مراقبة نشاطهم على شبكات التواصل الاجتماعي والأنشطة المرئية الأخرى حتى تكون رسائل البريد الالكتروني والمرفقات الخبيثة التي تحتوي عليها أكثر ملائمة ويكون من المرجح أن يُخدَعوا بها.
بسبب غطرستي، كنت أعتقد أن أحد المهاجمين كان ليستيقظ مبكرًا جدًا في الصباح لكي يحتال علي. أحد خبراء الأمن الرئيسيين في كاسبرسكي لاب، كورت بومغارتنر، صحح لي الأمر، موضحًا أن أي شخص من بيننا – مهما كان ذكيًا – قد يفتح مرفقات تبدو أنها قد أرسلت من قِبَل شخص نثق به. هذه الحقيقة تتطلب دفاعات تلقائية, تعتمد على سلوك قابل للقياس بدلاً من الحدس الإنساني.
على سبيل المثال، مجموعة مايكروسوفت الأحدث من ملفات الإصلاح، التحديثات الأمنية ليوم الثلاثاء، أصلحت ثغرة في إنترنت إكسبلورور ولكن فشلت في إصلاح ثغرة أخرى في مايكروسوفت أوفيس وهي إمكانية التعرض للهجمات دون إنتظار (وهي إحدى الثغرات المكتشفة حديثًا). بسبب هذا، فإن المهاجمون الذين يفهمون الثغرة يمكنهم استغلالها لإرسال مستندات خبيثة للمستخدمين المصابة أجهزتهم (اقرأ: تقريبًا أي شخص لديه مايكروسوفت أوفيس). بالطبع، إذا كان المهاجم يستخدم برنامجًا خبيثًا يمكن لمنتج مكافحة الفيروسات التعرف عليه من خلال محرك الكشف الخاص به، إذن فأنت محمي. على الرغم من ذلك، فقد توصل المهاجمون إلى طرق بسيطة جدًا لتغيير الكود أو النطاق الخاص ببرمجياتهم الخبيثة لكي يتملصوا من هذا الكشف.
لا أريد أن أثني على المهاجمين بشكل كبير للغاية هنا. في نهاية المطاف، فإن الأخيار هم عادة الرجال الأكثر ذكاءًا، ولو أنهم يتحركون أبطأ قليلاً. الأخيار يُتقاضون رواتب جيدة، ويحصلون على فوائد، وعادة لا يتوجب عليهم القلق بشأن الذهاب إلى السجن. إنهم يراقبون الأشرار ويتعلمون من أساليبهم بالضبط مثلما يراقب الأشرار الأخيار.
هذا هو الحال مع المطورين لدينا في كاسبرسكي لاب. راقب الباحثون هنا الطرق التي استخدمها المهاجمون على مر السنين. تستخدم منتجات مكافحة البرمجيات الخبيثة لمجرد البحث عن توقيعات البرمجيات الخبيثة، ولكن بات واضحًا خلال السنوات القليلة الماضية أن كشف التوقيعات ليس كافيًا. بالتالي فقد طوروا تقنيات مثل المنع التلقائي لاستغلال الثغرات (AEP)، والذي يقوم بعمل مسح لأنظمة المستخدمين بحثًا عن الثغرات والسلوكيات الخبيثة المعروفة. عندما يرى (AEP) تطبيقات تقوم بتشغيل كود غريب أو تبدو أنها تستغل خللاً في أحد البرامج المحتوية على ثغرات، تتحرك هذه التكنولوجيا لمنع هذه الإجراءات قبل حدوث أي ضرر. بهذه الطريقة، فإن المستخدمين محميين من أي تهديد تقريبًا، بما في ذلك الهجمات من دون انتظار سالفة الذكر.