عادةً ما يختار مجرمو الإنترنت شركات متناهية الصِغر كأهداف لهم. الشركات الصغيرة نادراً ما تنفق أموالاً كبيرة على أنظمة الأمان، بل غالباً لا يوجد لديها متخصص في تكنولوجيا المعلومات، والأهم من ذلك أن تعمل على الأرجح من حاسوب واحد أو اثنين؛ ما يجعل من السهل اختيارها كهدف يحوي نوع المعلومات الذي يبحث عنه مجرمو الإنترنت. وقد اكتشفت تقنياتنا مؤخرًا هجومًا آخر استهدف متاجر صغيرة عبر الإنترنت. لقد حاول المهاجمون -باستخدام أساليب الهندسة الاجتماعية-إجبار أصحاب هذه الشركات على تشغيل برامج نصية ضارة على أجهزة الكمبيوتر الخاصة بهم.
الهندسة الاجتماعية
من أهم خصائص هذا الهجوم طريقة الخداع التي يُقنع بها المهاجمون أحد موظفي المتجر بتنزيل ملف ضار وفتحه. فهم يرسلون خطابًا متظاهرين بأنهم عملاء دفعوا بالفعل مقابل طلب لكنهم لا يستطيعون استلامه. ويزعمون وجود مشكلة في مكتب البريد طالبين من المتجر ملء مستند بتفاصيل (معلومات المرسل، رقم التتبع، وغيرها). فهل يمكن لأي موظف مبيعات بريء تجاهل هذا الخطاب؟
يحتوي الخطاب، المكتوب بإنجليزية غير متقنة لكنها مفهومة تمامًا، على رابط ينقل إلى كائن مستضاف على مستندات Google. ويؤدي النقر فوق الرابط إلى بدء تنزيل أرشيف، يحتوي بالطبع على ملف ضار -في هذه الحالة، ملف بامتداد .xlsx.
من وجهة نظر تقنية
الهجوم سهل لكنه فعال. أولاً، يبدو بوضوح أنه ليس بريدًا جماعيًا -فنص الرسالة يُكتب خصيصًا لمتاجر عبر الإنترنت، وعلى الأرجح يتم إرساله إلى قائمة معنية. ثانيًا، لا يتضمن أي شيء ضار. فهو مجرد نص من فقرتين ورابط إلى خدمة قانونية. ولا يُرجح إيقاف عوامل تصفية البريد التلقائية مثل هذه الرسالة. فهي ليست بريدًا عشوائيًا ولا مخادعًا، والأهم من ذلك أنها لا تحتوي على مرفقات ضارة.
يحتوي ملف XLSX على برنامج نصي يقوم بتنزيل وتشغيل ملف قابل للتنفيذ من خدمة عن بعد -وهو فيروس حصان طروادة DanaBot للمعاملات البنكية، المعروف لأنظمتنا منذ مايو 2018. حيث يحتوي هذا البرنامج الضار على بنية من وحدات نمطية، ويمكنه تنزيل ملحقات إضافية تتيح له اعتراض المرور وسرقة كلمات السر بل وحتى المَحافظ المشفرة. حتى كتابة هذه المقالة (وفقًا لإحصائيات الربع الثالث من عام 2019)، يعد من بين أهم 10 عائلات برامج ضارة للمعاملات البنكية.
الأهداف التي يقصدها هذا الهجوم هي المتاجر متناهية الصغر؛ لذلك من المحتمل جدًا أن يكون الحاسوب المصاب الذي يقرأ الموظفون البريد منه هو الجهاز الرئيسي للعمليات البنكية. وبعبارة أخرى، سيحتوي ذلك الجهاز على المعلومات التي يبحث عنها المهاجمون.
كيفية الحفاظ على الأمان
أولاً، يجب توفير حل أمان موثوق على جميع أجهزة الكمبيوتر. تقنيات الأمان الخاصة بنا لا تكتفي بالتعرف على فيروس DanaBot (كملف Trojan-Banker.Win32.Danabot) وحسب، بل وتسجِّل أيضًا البرامج النصية التي تقوم بتنزيل فيروس حصان طروادة باستخدام قرار استكشاف المشكلات HEUR: Trojan.Script.Generic. لذلك، ستتمكن أجهزة الكمبيوتر المثبتة عليها حلول Kaspersky من إيقاف هذا الهجوم حتى قبل تنزيل فيروس حصان طروادة على الجهاز.
ثانيًا، يجب تحديث البرامج المستخدمة على نطاق واسع في الوقت المناسب. يجب أن تحظى تحديثات أنظمة التشغيل ومجموعات البرامج المكتبية بأعلى أولوية. يستخدم المهاجمون عادةً ثغرات أمنية في هذه البرامج لتسليم البرامج الضارة.
للشركات متناهية الصِغر، نوصى باستخدام Kaspersky Small Office Security فهو لا يتطلب أي مهارات إدارة خاصة، ويحمي من فيروسات أحصنة طروادة بموثوقية، كما يتحقق أيضًا من إصدارات تطبيقات الأطراف الخارجية الشائعة.