تهديدات
عندما يتعلق الأمر بالهجمات على الشركات، ينصب التركيز عادة على أربعة جوانب: التمويل، والملكية الفكرية، والبيانات الشخصية، والبنية التحتية لتكنولوجيا المعلومات. ومع ذلك، يجب ألا ننسى أن مجرمي الإنترنت يمكنهم أيضًا استهداف أصول الشركة التي يديرها قسم العلاقات العامة والتسويق، بما في ذلك رسائل البريد الإلكتروني ومنصات الإعلان وقنوات التواصل الاجتماعي والمواقع الترويجية. وللوهلة الأولى، قد تبدو هذه الأمور غير جذابة للأشرار (“أين الإيرادات؟”)، لكن في الممارسة العملية، يمكن لكل منها أن يخدم مجرمي الإنترنت في “أنشطتهم التسويقية” الخاصة.
الإعلانات الضارة
لمفاجأة الكثيرين (حتى خبراء أمان المعلومات)، يستخدم مجرمو الإنترنت بشكل نشط الإعلانات المشروعة المدفوعة منذ عدد من السنوات حتى الآن. ويدفعون بطريقة أو بأخرى مقابل الشعارات الإعلانية والترتيب في البحث، ويستخدمون أدوات الترويج للشركات. وتوجد أمثلة عديدة على هذه الظاهرة، والتي يطلق عليها اسم malvertising (الإعلانات الخبيثة). وفي العادة، يعلن مجرمو الإنترنت عن صفحات مزيفة للتطبيقات الشائعة، وحملات ترويجية مزيفة لعلامات تجارية مشهورة، وغيرها من المخططات الاحتيالية التي تستهدف جمهورًا واسعًا. وفي بعض الأحيان ينشئ المهاجمون حساب إعلان خاص ويدفعون مقابل الإعلان، لكن هذه الطريقة تخلف وراءها الكثير من الآثار (مثل تفاصيل الدفع). ولذا، هناك طريقة مختلفة أكثر جاذبية بالنسبة لهم: سرقة بيانات اعتماد تسجيل الدخول واختراق الحساب الإعلاني لشركة شهيرة، ثم الترويج لمواقعهم من خلاله. ويحقق هذا مردودًا مزدوجًا لمجرمي الإنترنت: ينفقون أموال الآخرين دون ترك آثار زائدة. لكن الشركة الضحية، إلى جانب حسابها الإعلاني المدمر، تواجه مشكلة تلو الأخرى – بما في ذلك احتمال حظرها من قبل منصة الإعلان لتوزيع محتوى ضار.
التصويت المعارض وإلغاء المتابعة
يتمثل أحد أشكال المخطط المذكور أعلاه في الاستيلاء على حسابات الإعلانات المدفوعة على شبكات التواصل الاجتماعية. وتخلق تفاصيل منصات التواصل الاجتماعي مشاكل إضافية للشركة المستهدفة.
أولاً، يرتبط الوصول إلى حسابات وسائل التواصل الاجتماعي الخاصة بالشركة في العادة بالحسابات الشخصية للموظفين. ويكفي في الغالب أن يخترق المهاجمون الكمبيوتر الشخصي للمعلن أو يسرقون كلمة مرور شبكة التواصل الاجتماعي الخاصة به للوصول ليس إلى الإعجابات وصور الحيوانات الأليفة لديه وكذلك إلى نطاق الإجراء الممنوح من قبل الشركة التي يعملون بها. ويتضمن ذلك النشر على صفحة شبكة التواصل الاجتماعي الخاصة بالشركة، وإرسال رسائل البريد الإلكتروني إلى العملاء من خلال آلية الاتصال المدمجة، ووضع الإعلانات المدفوعة. ومن السهل إلغاء هذه الوظائف من أي موظف يتعرض للاختراق طالما أنه ليس المسؤول الرئيسي عن صفحة الشركة، وفي هذه الحالة، سوف تستلزم استعادة الوصول الكثير من العمل بحد أقصى.
ثانيًا، تتخذ معظم الإعلانات على شبكات التواصل الاجتماعي شكل “منشورات مدعومة” يتم إنشاؤها نيابة عن شركة معينة. وإذا نشر أحد المهاجمين عرضًا احتياليًا وروج له، فسيرى الجمهور على الفور من نشره ويمكنه التعبير عن شكاواه مباشرةً أسفل المنشور. وفي هذه الحالة، لن تعاني الشركة من الضرر المالي فحسب، بل من ضرر واضح يلحق بسمعتها.
ثالثًا، تحفظ العديد من الشركات على شبكات التواصل الاجتماعي قوائم “الجماهير المخصصة”، وهي مجموعات جاهزة من العملاء المهتمين بمختلف المنتجات والخدمات أو الذين سبق لهم زيارة موقع الشركة على الويب. وعلى الرغم من أنه لا يمكن عادة سحبها (أي سرقتها) من إحدى شبكات التواصل الاجتماعي، إلا أنه من الممكن للأسف إنشاء إعلانات ضارة باستخدامها بحيث تتكيف الإعلانات مع جمهور محدد وبالتالي تكون أكثر فعالية.
التعميم غير المجدول
هناك طريقة أخرى فعالة يستخدمها مجرمو الإنترنت للحصول على إعلانات مجانية وهي سرقة حساب لدى مزود خدمة البريد الإلكتروني. وإذا كانت الشركة التي تعرضت للهجوم كبيرة بما يكفي، فقد يكون لديها ملايين المشتركين في قائمتها البريدية.
يمكن استغلال هذا الوصول بعدة طرق: عن طريق إرسال عرض وهمي لا يقاوم إلى عناوين البريد الإلكتروني في قاعدة بيانات المشتركين؛ عن طريق استبدال الروابط سرًا في رسائل البريد الإلكتروني الإعلانية المخطط لها؛ أو ببساطة عن طريق تنزيل قاعدة بيانات المشتركين لإرسال رسائل بريد إلكتروني للتصيد الاحتيالي إليهم بطرق أخرى لاحقًا.
مرة أخرى، يأخذ الضرر الذي لحق بالشركة شكل الضرر المالي، والضرر الذي يتعلق بالسمعة، والضرر الفني. ونعني بكلمة “فني” حظر الرسائل الواردة في المستقبل عن طريق خوادم البريد. وبمعنى آخر، بعد إرسال رسائل البريد الإلكتروني الضارة، سيتعين على الشركة الضحية حل الأمور ليس فقط مع منصة البريد لكن أيضًا مع موفري البريد الإلكتروني المحددين الذين حظروها كمصدر للمراسلين المحتالين.
يندرج ضمن الآثار الجانبية السيئة جدًا لمثل هذا الهجوم حدوث تسرب للبيانات الشخصية للعملاء. ويعد هذا حادثًا في حد ذاته – ولا يقتصر تأثيره على إلحاق الضرر بالسمعة فحسب، بل قد يُعرضك أيضًا لغرامة من الجهات التنظيمية المعنية بحماية البيانات.
عدم وضوح اختراق موقع الويب
من الممكن أن تمر عملية اختراق موقع الويب دون أن يلاحظها أحد لفترة طويلة، خاصة بالنسبة لشركة صغيرة تؤدي أعمالها بشكل أساسي من خلال شبكات التواصل الاجتماعي أو خارج الإنترنت. ومن وجهة نظر مجرمي الإنترنت، تختلف أهداف اختراق موقع الويب حسب نوع الموقع وطبيعة عمل الشركة. وبغض النظر عن الحالات التي يكون فيها اختراق موقع الويب جزءًا من هجوم إلكتروني أكثر تعقيدًا، يمكننا بشكل عام تحديد الأنواع التالية.
أولاً، تستطيع جهات التهديد تثبيت أداة استخلاص بيانات على الويب على موقع تجارة إلكترونية. وهي جزء صغير بلغة JavaScript مُخفى جيدًا ويتم إدراجة مباشرة في التعليمات البرمجية لموقع الويب الذي يسرق تفاصيل البطاقات عندما يدفع العملاء مقابل الشراء. ولا يحتاج العميل إلى تنزيل أو تشغيل أي شيء، فهو ببساطة يدفع مقابل السلع أو الخدمات على الموقع، ويستولي المهاجمون على الأموال.
ثانيًا، يستطيع المهاجمون إنشاء أقسام فرعية مخفية على الموقع وملئها بمحتوى ضار من اختيارهم. ويمكن استخدام هذه الصفحات في مجموعة واسعة من الأنشطة الإجرامية، سواء كانت هدايا مزيفة أو مبيعات مزيفة أو توزيع برامج تتضمن فيروسات حصان طروادة. ويعد استخدام موقع ويب شرعي لهذه الأغراض أمرًا مثاليًا، طالما أن المالكين لا يلاحظون أن لديهم “ضيوفًا”. وفي الواقع، هناك صناعة كاملة تتمحور حول هذه الممارسة. وتعتبر المواقع غير الخاضعة للمراقبة التي يتم إنشاؤها لبعض الحملات التسويقية أو حدث لمرة واحدة شائعة بشكل خاص ثم يتم نسيانها.
يكون الضرر الذي يلحق بالشركة نتيجة اختراق موقع ويب واسع النطاق، ويتضمن: زيادة التكاليف المرتبطة بالموقع بسبب حركة المرور الضارة؛ وانخفاض عدد الزوار الحقيقيين بسبب انخفاض تصنيف تحسين محرك البحث للموقع؛ والنزاعات المحتملة مع العملاء أو جهات إنفاذ القانون بشأن الرسوم غير المتوقعة على بطاقات العملاء.
نماذج الويب باستخدام إطار Hotwire
حتى بدون اختراق موقع الويب الخاص بالشركة، تستطيع جهات التهديد استخدامه لأغراضهم الخاصة. ولا يحتاجون سوى وظيفة موقع الويب التي تنشئ رسالة تأكيد بالبريد الإلكتروني: نموذج تعليقات، ونموذج مواعيد، وما إلى ذلك. ويستخدم مجرمو الإنترنت أنظمة آلية لاستغلال هذه النماذج لإرسال البريد العشوائي أو التصيد الاحتيالي.
الآليات واضحة ومباشرة: يتم إدخال عنوان الهدف في النموذج كبريد إلكتروني للاتصال، بينما يتم إدخال نص البريد الإلكتروني الاحتيالي نفسه في حقل الاسم أو الموضوع، على سبيل المثال، “تحويل الأموال الخاص بك جاهز للإصدار (الرابط)”. ونتيجة لذلك، يتلقى الضحية رسالة بريد إلكتروني ضارة تقول شيئًا مثل: “عزيزي فلان، تحويل الأموال الخاص بك جاهز للإصدار (الرابط).” شكرًا لاتصالك بنا. سنتواصل معك قريبًا”. وبطبيعة الحال، تتوقف منصات مكافحة البريد العشوائي في نهاية المطاف عن السماح بمرور رسائل البريد الإلكتروني هذه، ويفقد نموذج الشركة الضحية بعض وظائفه. بالإضافة إلى ذلك، فإن جميع مستلمي هذا البريد يفكرون بشكل أقل في الشركة، ويساوونها بمرسل البريد العشوائي.
كيفية حماية أصول العلاقات العامة والتسويق من الهجمات الإلكترونية
نظرًا لأن الهجمات الموصوفة متنوعة تمامًا، فإن الحماية المتعمقة مطلوبة. وإليك بعض الخطوات التي يجب اتخاذها:
- إجراء التدريب على التوعية بالأمن الإلكتروني عبر قسم التسويق بأكمله. وتكريره بانتظام؛
- التأكد من التزام جميع الموظفين بأفضل ممارسات كلمة المرور: كلمات مرور طويلة وفريدة لكل نظام أساسي والاستخدام الإلزامي للمصادقة ثنائية العوامل – خاصة لشبكات التواصل الاجتماعي وأدوات البريد ومنصات إدارة الإعلانات؛
- التخلص من ممارسة استخدام كلمة مرور واحدة لجميع الموظفين الذين يحتاجون إلى الوصول إلى إحدى شبكات التواصل الاجتماعي للشركة أو أي أداة أخرى عبر الإنترنت؛
- توجيه الموظفين للوصول إلى أدوات البريد / الإعلانات ولوحة إدارة موقع الويب فقط من خلال أجهزة العمل المجهزة بحماية كاملة بما يتماشى مع معايير الشركة (EDR أو أمان الإنترنت، أو EMM/UEM أو اتصال VPN)؛
- حث الموظفين على تثبيت حماية شاملة على أجهزة الكمبيوتر الشخصية والهواتف الذكية؛
- تقديم ممارسة تسجيل الخروج الإلزامي من منصات البريد / الإعلان والحسابات المماثلة الأخرى عندما لا تكون قيد الاستخدام؛
- تذكر إلغاء الوصول إلى شبكات التواصل الاجتماعي ومنصات البريد / الإعلان ومسؤول موقع الويب فور مغادرة الموظف للشركة؛
- المراجعة المنتظمة لقوائم البريد الإلكتروني المرسلة والإعلانات التي يتم عرضها حاليًا، جنبًا إلى جنب مع تحليلات حركة مرور موقع الويب التفصيلية لاكتشاف الحالات الشاذة في الوقت المناسب؛
- التأكد أن جميع البرامج المستخدمة على مواقع الويب الخاصة بك (نظام إدارة المحتوى وملحقاته) وعلى أجهزة كمبيوتر العمل (مثل نظام التشغيل والمستعرض وOffice) يتم تحديثها بانتظام وبشكل منهجي إلى أحدث الإصدارات؛
- العمل مع مقاول دعم موقع الويب الخاص بك لتنفيذ التحقق من صحة النموذج وتنظيفه؛ على وجه الخصوص، لضمان عدم إمكانية إدراج الروابط في الحقول غير المخصصة لهذا الغرض. وينبغي عليك أيضًا تعيين “حد للمعدل” لمنع طرف واحد من تقديم مئات الطلبات يوميًا، بالإضافة إلى كلمة التحقق الذكية للحماية من برامج الروبوت.
النصائح