ربما قام كل منا بتثبيت نوع من امتدادات المتصفح مرة واحدة على الأقل: مانع إعلانات أو مترجم عبر الإنترنت أو مدقق إملائي أو أي امتداد آخر. ومع ذلك، فإن القليل منا يتوقف للتفكير: هل هو آمن؟ لسوء الحظ، يمكن أن تكون هذه التطبيقات المصغرة التي تبدو غير ضارة أكثر خطورة مما تبدو للوهلة الأولى. دعونا نرى ما قد يحدث من خطأ. لهذا الغرض، سنستخدم بيانات من التقرير الأخير لخبرائنا حول العائلات الأكثر شيوعًا لامتدادات المتصفح الضارة.
ما هي الامتدادات وماذا تفعل؟
لنبدأ بالتعريف الأساسي ونحدد جذر المسألة. امتداد المتصفح عبارة عن مكون إضافي يضيف وظيفة إلى متصفحك. على سبيل المثال، يمكنهم حظر الإعلانات على صفحات الويب، وتقديم الملاحظات، والتحقق من الإملاء وغير ذلك الكثير. بالنسبة للمتصفحات الشائعة، هناك متاجر امتدادات رسمية تساعد في تحديد ومقارنة وتثبيت المكونات الإضافية التي تريدها. ولكن يمكن أيضًا تركيب الامتدادات من مصادر غير رسمية.
من المهم ملاحظة أنه لكي يؤدي الامتداد وظيفته، ستحتاج إلى إذن لقراءة وتغيير محتوى صفحات الويب التي تشاهدها في المتصفح. بدون هذا الوصول، من المحتمل أن يكون عديم الفائدة تمامًا.
في حالة متصفح كروم، ستتطلب الامتدادات القدرة على قراءة جميع بياناتك وتغييرها على جميع مواقع الويب التي تزورها. تبدو وكأنها صفقة رابحة، أليس كذلك؟ ومع ذلك، حتى المتاجر الرسمية لا تعطيها القدر الكافي من الاهتمام.
على سبيل المثال، في سوق متصفح كروم الإلكتروني الرسمي، ينص قسم ممارسات الخصوصية في امتداد مترجم جوجل الشائع على أنه يجمع معلومات حول الموقع ونشاط المستخدم ومحتوى موقع الويب. لكن حقيقة أنه يحتاج إلى الوصول إلى جميع البيانات من جميع مواقع الويب من أجل العمل لا يتم الكشف عنها للمستخدم حتى يقوم بتثبيت الامتداد.
ربما لن يقرأ العديد من المستخدمين، إن لم يكن معظمهم، هذه الرسالة، وسوف ينقرون تلقائيًا على إضافة الامتداد لبدء استخدام المكون الإضافي على الفور. كل هذا يُوجد الفرصة لمجرمي الإنترنت لتوزيع البرامج الإعلانية، وحتى البرامج الخبيثة تحت ستار ما يبدو أنه امتدادات غير ضارة.
أما بالنسبة لامتدادات البرامج الإعلانية، فإن الحق في تغيير المحتوى المعروض يسمح لهم بعرض الإعلانات على المواقع التي تزورها. في هذه الحالة، يكسب منشئو الامتدادات المال من المستخدمين الذين ينقرون على روابط الشركات التابعة لمواقع المعلنين على الويب. للحصول على محتوى إعلاني أكثر استهدافًا وتخصيصًا، يمكنهم أيضًا تحليل طلبات البحث والبيانات الأخرى.
تكون الأمور أسوأ عندما يتعلق الأمر بالامتدادات الخبيثة. يسمح الوصول إلى محتوى جميع مواقع الويب التي تمت زيارتها للمهاجم بسرقة تفاصيل البطاقة وملفات تعريف الارتباط وغيرها من المعلومات الحساسة. لنلق نظرة على بعض الأمثلة.
أدوات الاحتيال لملفات Office
في السنوات الأخيرة، كان مجرمو الإنترنت ينشرون بنشاط امتدادات برامج الويب الإعلانية الخبيثة. عادة ما يتم تنكر أفراد هذه العائلة كأدوات لملفات Office، على سبيل المثال، لتحويل Word إلى PDF.
بل إن معظمها يؤدي وظيفته المعلنة. ولكن بعد التثبيت، يقومون باستبدال الصفحة الرئيسية المعتادة للمتصفح بموقع مصغر بشريط بحث وتتبع الروابط التابعة لموارد طرف ثالث، مثل AliExpress أو Farfetch.
بمجرد التثبيت، يقوم الامتداد أيضًا بتغيير محرك البحث الافتراضي إلى شيء يسمى search.myway. يسمح هذا لمجرمي الإنترنت بحفظ وتحليل استفسارات بحث المستخدمين وتزويدهم بروابط أكثر صلة وفقًا لاهتماماتهم.
في الوقت الحالي، لم تعد ملحقات WebSearch متاحة في متجر كروم الرسمي، ولكن لا يزال من الممكن تنزيلها من موارد طرف ثالث.
إضافة البرامج الإعلانية التي لن تتركك
أعضاء في DealPly، وهي عائلة شائعة أخرى من امتدادات البرامج الإعلانية، عادة ما يتسللون إلى أجهزة الكمبيوتر الخاصة بالناس جنبًا إلى جنب مع المحتوى المقرصن الذي يتم تنزيله من مواقع مشبوهة. فهي تعمل بنفس الطريقة التي تعمل بها مكونات WebSearch الإضافية تقريبًا.
وبالمثل، تستبدل ملحقات DealPly صفحة المتصفح الرئيسية بموقع مصغر يحتوي على روابط تابعة للمنصات الرقمية الشائعة، ومثلها مثل ملحقات WebSearch الضارة، فإنها تستبدل محرك البحث الافتراضي وتحلل طلبات بحث المستخدم لإنشاء المزيد من الإعلانات المخصصة.
علاوة على ذلك، من الصعب للغاية التخلص من أفراد DealPly. حتى إذا أزال المستخدم امتداد البرامج الإعلانية، فسيتم إعادة تثبيته على جهازه في كل مرة يتم فيها فتح المتصفح.
AddScript ملفات تعريف الارتباط غير المرغوب فيها
غالبًا ما تتنكر الامتدادات من عائلة AddScript كأدوات لتنزيل الموسيقى ومقاطع الفيديو من الشبكات الاجتماعية، أو مديري الخوادم بالوكالة. ومع ذلك، بالإضافة إلى هذه الوظيفة، فإنها تصيب جهاز الضحية برمز ضار. ثم يستخدم المهاجمون هذا الرمز لعرض مقاطع الفيديو في الخلفية دون أن يلاحظ المستخدم ذلك ويكسبون دخلًا من زيادة عدد مرات المشاهدة.
مصدر آخر للدخل لمجرمي الإنترنت هو تنزيل ملفات تعريف الارتباط على جهاز الضحية. بشكل عام، يتم تخزين ملفات تعريف الارتباط على جهاز المستخدم عند زيارة موقع ويب ويمكن استخدامها كنوع من العلامات الرقمية. في الوضع الطبيعي، تعد المواقع التابعة بأخذ العملاء إلى موقع شرعي. ولهذا السبب، يجذبون المستخدمين إلى مواقعهم الخاصة، وهو ما يتم، مرة أخرى، في حالة طبيعية، عن طريق محتوى مثير للاهتمام أو مفيد. ثم يقومون بتخزين ملف تعريف ارتباط على جهاز الكمبيوتر الخاص بالمستخدم، وإرساله إلى الموقع المستهدف مع رابط. باستخدام ملف تعريف الارتباط هذا، يفهم الموقع من أين جاء العميل الجديد ويدفع للشريك رسومًا — أحيانًا لإعادة التوجيه نفسه، وأحيانًا نسبة مئوية من أي عملية شراء تم إجراؤها، وأحيانًا لإجراء معين، مثل التسجيل.
يستخدم مشغلو AddScript امتدادًا ضارًا لإساءة استخدام هذا المخطط. بدلاً من إرسال زوار حقيقيين لموقع الويب إلى الشركاء، يقومون بتنزيل ملفات تعريف الارتباط المتعددة على الأجهزة المصابة. تعمل ملفات تعريف الارتباط هذه كعلامات لبرنامج شركاء المحتالين، ويحصل مشغلو AddScript على رسوم. في الواقع، لا يجذبون أي عملاء جدد على الإطلاق، ويتألف نشاطهم “الشريك” من إصابة أجهزة الكمبيوتر بهذه الامتدادات الخبيثة.
FB — سارق ملفات تعريف الارتباط
تعتبر عائلة أخرى من الامتدادات الخبيثة، ولكن لها شكل مختلف. على عكس AddScript، لا يقوم أفراد هذه العائلة بتنزيل “الامتدادات” على الجهاز، بل يسرقون ملفات تعريف الارتباط المهمة. إليك آلية عمله.
يصل امتداد FB إلى أجهزة المستخدمين جنبًا إلى جنب مع NullMixer Trojan، والتي عادة ما يلتقطها الضحايا عند محاولة تنزيل مثبت برنامج مخترق. بمجرد التثبيت، تقوم طروادة بتعديل الملف المستخدم لتخزين إعدادات متصفح كروم، بما في ذلك معلومات حول الامتدادات.
ثم، بعد التنشيط، يتظاهر امتداد FB بأنه امتداد Google Translate، بحيث يتخلى المستخدمون عن حذرهم. يبدو الامتداد مقنعًا للغاية، والجانب السلبي الوحيد للمهاجمين هو تحذير المتصفح من أن المتجر الرسمي لا يحتوي على معلومات عنه.
كما يستبدل أفراد هذه العائلة محرك البحث الافتراضي للمتصفح، ولكن هذا ليس أكثر شيء غير سار حول هذه الامتدادات. تتمثل الوظيفة الرئيسية لـ FB Stealer في سرقة ملفات تعريف الارتباط الخاصة بالجلسة من مستخدمي أكبر شبكة اجتماعية في العالم، ومن هنا جاء الاسم. هذه هي نفس ملفات تعريف الارتباط التي تسمح لك بتجاوز تسجيل الدخول في كل مرة تزور فيها الموقع — كما أنها تسمح للمهاجمين بالدخول دون كلمة مرور. بعد اختطاف حساب بهذه الطريقة، يمكنهم بعد ذلك، على سبيل المثال، مراسلة أصدقاء الضحية وأقاربها لطلب المال.
كيف تحمي نفسك من ذلك
- امتدادات المتصفح هي أدوات مفيدة، ولكن من المهم التعامل معها بحذر وإدراك أنها ليست غير ضارة كما قد يعتقد المرء. ولذلك، نوصي باتخاذ التدابير الأمنية التالية:
- · تنزيل الامتدادات فقط من المصادر الرسمية. تذكر أن هذا ليس ضمانًا أمنيًا مانعًا — حيث إن الامتدادات الخبيثة تتمكن من اختراق المتاجر الرسمية بين الحين والآخر. لكن هذه المنصات تهتم عادة بسلامة المستخدم، وفي النهاية تتمكن من إزالة الامتدادات الضارة.
- · لا تقم بتثبيت العديد من الامتدادات وتحقق بانتظام من القائمة. إذا رأيت شيئًا لم تقم بتثبيته بنفسك، فذلك يعد إشارة تحذيرية خطيرة.
- · استخدام حل أمان موثوقًا .