التصيد بمراحل مختلفة الذي يبدأ بروابط حقيقية

يونيو 2, 2015

اكتشف باحثو كاسبرسكي لاب مؤخراً طريقة يتبعها المتصيدون لسرقة البيانات الشخصية دون الاضطرار للدخول إلى اسم المستخدم وكلمة مروره، فبدلاً من محاولة سرقة بيانات الضحية، يتصرف المجرمون بذكاء أكبر.

multi-stage-phishing-featured-ru

تتلقى الضحية بريداً إلكترونياً بطلب لاتباع الرابط الخاص بخدمة رسمية وإدخال كلمة مرور جديدة، وإلا فسيتعرض حسابهم للحظر. والمفاجأة بأن الرابط يقود حقاً إلى الموقع الإلكتروني الصحيح، على سبيل المثال موقع ويندوز لايف.

image001

وبعد منح صلاحية الدخول، تتلقى الضحية طلباً لعدد من الصلاحيات من تطبيق مجهول، وقد تتضمن هذه الصلاحيات دخولاً تلقائياً، أو دخولاً إلى بيانات ملف المستخدم، أو قائمة المتصلين به، أو عناوين البريد الإلكتروني المسجلة لديه، وعبر منح هذه الحقوق فإننا نمنح صلاحيات غير محدودة للمجرمين الإلكترونيين لاختراق بياناتنا الشخصية.

ثم يقوم أفراد مجهولون بجمع البيانات سرياً، لأغراض التصيد، فعلى سبيل المثال يمكنهم استغلالها لنشر الرسائل الوهمية، أو نشر روابط تقود إلى مواقع وهمية أو خبيثة.

 

كيف تتم العملية؟

هناك برتوكول مفيد، إنما غير آمن بشكل كامل، لمنح الصلاحيات يدعى OAuth، تتيح للمستخدمين فتح الصلاحيات المحدودة لمصادرهم المحمية، من قوائم المتصلين، والأجندات، وغيرها من البيانات الشخصية دون مشاركة بيانات الدخول. وهي مستخدمة بشكل كبير من التطبيقات لمستخدمي الشبكات الاجتماعية إذا كانوا يحتاجون مثلاً الدخول إلى قوائم المتصلين الخاصة بالمستخدم.

وكما تستخدم الشبكات الاجتماعية OAuth، فإن حسابك على فيسبوك ليس آمناً أيضاً، إذ يستطيع تطبيق خبيث استخدام صلاحية الدخول لحساب المستخدم لإرسال ملفات وهمية أو خبيثة، إضافة إلى روابط تصيد.

وقد مرت سنة على اكتشاف حقيقة OAuth، حيث قام طالب من سنغافورة في بداية عام ٢٠١٤ بشرح الاستراتيجيات الممكنة لسرقة بيانات المستخدم بعد الدخول. إنما هذه هي المرة الأولى التي نشهد فيها حملة تصيد لتطبيق هذه الاستراتيجيات على أرض الواقع.

ما الذي يمكنك فعله كي تبقى محمياً:

لا تتبع الروابط التي تتلقاها عبر رسائل إلكترونية أو رسائل خاصة على الشبكات الاجتماعية.

لا تسمح للتطبيقات التي لا تثق بها بالدخول إلى بياناتك.

قبل أن تضغط على زر الموافقة، اقرأ بتمهل حقوق صلاحية الدخول إلى الحساب التي يطلبها التطبيق.

اطلع على أراء المستخدمين حول التطبيق على الإنترنت.

يمكنك أيضاً عرض أو إلغاء حقوق التطبيقات المحملة حالياً ضمن إعدادات الحساب على أي موقع شبكة اجتماعية أو موقع إلكتروني، ونوصيك بشدة بأن تكون هذه القائمة قصيرة قدر المستطاع.