أثبتت التجربة أن ذوي الخبرة بعالم الإنترنت أنفسهم قد فشلوا في بعض الأوقات في حماية أنفسهم من الاختراقات المستهدفة. وقد باتت حياتنا اليومية الآن أكثر اتصالاً بعالم الإنترنت والشبكات؛ ولذا فقد صار من الضروري توفير الأمان عبر الإنترنت.
يمتلك غالبية الأشخاص بريداً إلكترونياً، وحسابات على مواقع التواصل الاجتماعي، والمصارف الإلكترونية. يُجري الأشخاص أوامرَ شراء البضائع عبر الإنترنت ويستخدمون الإنترنت عبر أجهزتهم المتحركة لتعريف أنفسهم (على سبيل المثال، حلول التحقق المزدوج من الهوية) فضلاً عن إجراء مهام أخرى مهمة. ولسوء الطالع، لا يوجد نظام واحد من هذه الأنظمة مُؤَمَّن تماماً.
وكلما زاد تفاعلنا في عالم الإنترنت، زاد المعدل المستهدف لقراصنة العالم الإلكتروني؛ حيث يطلق متخصصو التأمين عليها “مساحة الهجوم”. وكلما زادت المساحة كان الاختراق أسهل. إن إلقاء نظرة على القصص الثلاث التي جرت خلال السنوات الثلاث الماضية يوضح لك آلية هذه العملية.
كيفية سرقة حساب: هل ينبغي عليك اختراقه أو مجرد إجراء مكالمة هاتفية فقط؟
إن إحدى الأدوات الأكثر فاعلية المستخدمة من جانب القراصنة الإلكترونيين هي “فن اختراق العقول البشرية”، أو “الهندسة الاجتماعية”. ففي 26 فبراير 2016، قرر كيفين روز -المحرر في صحيفة Fusion- التأكد من مدى فاعلية البرنامج. وقد وافقت جسيكا كلارك المهندسة الاجتماعية والمقرصنة الإلكترونية ومتخصص الحماية دان تينتلر على خوض التحدي.
وتوعدت جسيكا باختراق البريد الإلكتروني الخاص بكيفين بإجراء مكالمة هاتفية وقد أنجزت هذه المهمة بنجاح. قام فريق عملها أولاً بإعداد ملف تعريفي طويل يتكون من 13 صفحة، يتضمن الوصف الدقيق لشخصية روز، ما يروق له وما لا يدخل في قائمة اهتماماته وهكذا. وجرى الحصول على جميع البيانات من المصادر العامة.
وبعد القيام بمرحلة الإعداد، استولت جسيكا على رقم الهاتف المتحرك الخاص بكيفين وقامت بالاتصال بهاتف شركته. ولإضفاء مزيدٍ من التوتر، قامت بتشغيل مقطع فيديو يتضمن صراخ أطفال صغار في الخلفية.
وقدمت جسيكا نفسها على أنها زوجة روز. وأخبرتهم أنها كانت قد قدَّمت هي و”زوجها” للحصول على قرض، إلا أنها قد نسيت البريد الإلكتروني الذي تستخدمه هي وزجها بسبب انشغالها مع الأطفال. ونظراً لوجود صراخ الأطفال في خلفية المكالمة، كان الأمر سريعاً لكي تقوم جسيكا بإقناع خدمة الدعم بإعادة إعداد كلمة المرور الخاصة بالبريد الإلكتروني وحصلت بذلك على الوصول الكامل لهدفها.
وعمل دان تينتلر على حل مهمته بمساعدة الاصطياد الإلكتروني. فقد لاحظ أولاً أن كيفين يمتلك مدونة على الموقع الإلكتروني سكوير سبيس؛ لذا قام بإرسال بريد إلكتروني رسمي وهمي من منصة التدوين. وفي هذه الرسالة، طلب مدير موقع سكوير سبيس من المستخدمين تحديث شهادة SSL من أجل “الحماية”. ولكن بدلاً من الحماية، سمح هذا الملف لتينتلر بالوصول إلى جهاز الكمبيوتر الخاص بكيفين. وقام دان بإنشاء العديد من النوافذ المنبثقة تطلب من روز الحصول على اعتمادات محددة – وقد تم إدخالها بنجاح.
تمكن تينتلر من الوصول إلى البيانات المصرفية لحساب كيفين، وكذلك اعتمادات تسجيل الدخول إلى البريد الإلكتروني والمتاجر الإلكترونية، وبيانات البطاقة الائتمانية ورقم التأمين الاجتماعي. وعلاوة على ذلك، فقد التقط دان صوراً لروز وشاشة جهازه، وهي صور يتم التقاطها تلقائياً كل دقيقتين خلال 48 ساعة من الاختراق.
هل تريد تجنب الوقوع ضحية هجمات #التصيد؟
١٠ #نصائح يجب أن تنفذها الآن: https://t.co/PWW1iHQ5SG#أمن_المعلومات pic.twitter.com/14sUY0OykG— كاسبرسكي (@KasperskyKSA) November 15, 2015
كيف تسرق مهندس برمجيات في جنح الظلام
في ربيع عام 2015 خسر مطور البرمجيات بارتاب ديفس مبلغاً قدره 3,000 دولار. ففي جنح الظلام انسلَّ قرصان إلكتروني مجهول الهوية إلى حسابين من حسابات البريد الإلكتروني له واستولى على رقم هاتفه وحساب تويتر. اخترق هذا المجرم مستغلاً ذكاءه نظام التحقق من الهوية المزدوج واستولى على جميع محافظ “بتكوين” المملوكة لـ “بارتاب”. وبطبيعة الحال كان صباح ديفس غير سارٍ بالمرة.
جدير بالذكر أن بارتاب ديفس خبير ببواطن الإنترنت: فدائماً ما كان يختار كلمات المرور الموثوقة ولا ينقر على روابط ضارة البتة. فبريده الإلكتروني محمي بنظام مزدوج للتحقق من الهوية مصمم من شركة جوجل؛ لذلك فعند تسجيل الدخول إلى البريد من حاسوب جديد، عليه أن يكتب ستة أرقام تُرسَل إلى هاتفه المتحرك.
Anatomy of a hack: a step-by-step account of an overnight digital heist http://t.co/6M0OpMIQ7G pic.twitter.com/GpDdirnbZo
— The Verge (@verge) March 4, 2015
احتفظ ديفس بمدخراته في ثلاث محافظ بتكوين محمية بخدمة أخرى مزدوجة للتحقق من الهوية مقدمة من تطبيق Authy على الهاتف المتحرك. وعلى الرغم من أن ديفس تحصَّن بجميع إجراءات الأمن الممكنة، فلم يشفع له ذلك في استهداف القراصنة له.
بعد تعرض ديفس للقرصنة، استشاط غضباً وظل يبحث عن المجرم لأسابيع عديدة. توصَّل أيضاً إلى محررين في شبكة “ذا فيرج” وجَنَّدهم لخدمته في حل هذا اللغز. وتمكنوا جميعاً من التوصل إلى الكيفية التي حدثت بها عملية القرصنة.
كان ديفس يستخدم Patrap@mail.com عنواناً رئيسياً لبريده الإلكتروني. كانت جميع الرسائل تُرسَل إلى عنوان بريد جي ميل لا يمكن تذكره بسهولة (نظراً لأن العنوان Patrap@gmail.com كان محجوزاً بالفعل)
وطوال أشهر عديدة، كان بإمكان أي شخص يشتري نصوصاً خاصة على موقع Hackforum أن يستهدف أي نقطة ضعف في صفحة إعادة تعيين كلمة المرور على موقع Mail.com. كان هذا النص يُستخدَم في ظاهر الأمر لتخطي نظام التحقق من الهوية المزدوج وتغيير كلمة مرور ديفس.
وبعد أن طلب القرصان الإلكتروني تغيير كلمة المرور في حساب AT&T التابع لديفس، طلب من خدمة العملاء إرسال مكالمات ديفس الواردة إلى رقم في مدينة “لونج بيتش”. تلقَّى قسم خدمة الدعم تأكيداً بالبريد الإلكتروني ووافق على منح المكالمات للقرصان الإلكتروني. وبامتلاك القرصان الإلكتروني ذلك السلاح الفتَّاك بين يديه، باتت مهمة تجاوز عملية التحقق المزدوج من الهوية التابعة لشركة جوجل والوصول إلى حساب جي ميل التابع لديفس أمراً سهلاً.
ونظراً لأن الرسائل القصيرة كانت لا تزال تُرسَل إلى رقم الهاتف القديم لديفس، فقد استخدم القرصان الإلكتروني خاصية الوصول إلى جوجل المقدمة لضعاف البصر. وهذه الخاصية توفر خدمة قراءة رمز التأكيد بصوت مرتفع عبر الهاتف. ولذلك تم اختراق بريد جي ميل وكانت العقبة الوحيدة أمام وصول القرصان إلى الأموال هي تطبيق Authy.
ما هي خاصية التحقق المزدوج؟ وأين يجب أن تستخدمها؟ http://t.co/L3gaTgg39G #أمن_المعلومات #تقنية pic.twitter.com/WnEMAxUDOx
— كاسبرسكي (@KasperskyKSA) November 5, 2014
وللتغلب على تلك العقبة، قام الجاني بإعادة ضبط إعدادات التطبيق على هاتفه المتحرك باستخدام عنوان بريد إلكتروني على موقع mail.com ورمز تأكيد جديد مُرسَل مجدداً عبر مكالمة صوتية. وعندما كانت كل إجراءات الأمان تحت قبضة القرصان، قام بتغيير كلمة المرور في محفظة واحدة من محافظ بتكوين التابعة لديفس مستخدماً تطبيق Authy وعنوان بريد على موقع mail.com ثم حوَّل جميع الأموال.
وظلت الأموال في المحفظتين الأخريين كما هي دون مساس. فقد كانت إحدى المحافظ لا تسمح بسحب الأموال في غضون 48 ساعة بعد إعادة تعيين كلمة المرور. وكانت المحفظة الأخرى تشترط تقديم صورة ممسوحة ضوئياً من رخصة القيادة لديفس، وهو ما لم يقع تحت يد الجاني.
رسائل إلكترونية مشؤومة تدمر الحياة
كتبت صحيفة Fusion في أكتوبر 2015، “تدمير الحياة الزوجية لعائلة “ستريتر” بدأ بوجبة بيتزا” فمنذ سنوات كانت جميع المقاهي والمطاعم المحلية تتلقَّى طلبات هائلة من البيتزا والفطائر وصنوف الطعام الأخرى من “بول ستريتر” و”إيمي ستريتر” دون علمهما. كان “بول ستريتر” و”إيمي ستريتر” يقدمان الاعتذار ويرفضان الطلبات.
ولم يلبثا أن وصلت إليهم باقات أزهار وكميات كبيرة من الرمال والحصى وعربات سحب السيارات المُعطلة للإصلاح وغيرها من البضائع والخدمات غير المرغوب فيها. كانت هذه هي القشة التي قسمت ظهر البعير فقد تداعت الأحداث الواحدة تلو الأخرى كعقد انفرط خيطه فتتابعت حَبَّاته.
يعمل “بول ستريتر” مهندس إذاعة أول في محطة تلفاز محلية وتعمل زوجته “إيمي ستريتر” مسؤول مستشفيات أول. كان الزوجان ضحيةً لقرصان إلكتروني مجهول أو لمجموعة من القراصنة غير معروفي الهوية لم يكونوا على علاقة طيبة بابنهما “بلير”. تلقَّت السلطات تهديدات بوجود قنابل ممهورة بتوقيع الزوجين. استخدم القراصنة حساب “إيمي” الشخصي لنشر خطة الهجوم على مدرسة ابتدائية. كان عنوان الرسالة “سأطلق الرصاص على مدرستكم”. ترددت الشرطة على منزل الزوجين، الأمر الذي وتَّر علاقتهما مع جيرانهما الذين تساءَلوا حتماً عما يدور حولهم.
بل إن الجناة تمكنوا من اختراق الحساب الرسمي لشركة تيسلا موتورز ونشروا رسائل تشجع العملاء على الاتصال بالزوجين للحصول على سيارة تيسلا مجاناً. وفي ليلة يمكن أن نطلق عليها “إجازة على الهاتف”، تلقت “إيمي” وابنها “بلير” مكالمات هائلة بمعدل خمس مكالمات في الدقيقة من معجبي شركة تيسلا الراغبين في اقتناء السيارة “المجانية”. بل إن شخصاً ما زار بيتهم وطلب منهم فتح باب المرأب حيث شك أنهم يخفون السيارة داخله.
حاول “بول” حل المشكلة: فقام بتغيير كلمات المرور لجميع حساباته الشخصية وخاطب مديري المطاعم المحلية بعدم تقديم أي وجبات على عنوانه إلا بعد دفع حساب الوجبات كاملةً مقدماً. وتواصل مع قسم شرطة أوسويغو وطلب منهم الاتصال به قبل إرسال التعزيزات للتحقق من صحة التهديد. وفي ظل كل هذه المشاكل انتهت العلاقة الزوجية بالانفصال.
ولم تتوقف الهجمات، إذ إنها اخترقت حسابات مواقع التواصل الاجتماعي لإيمي واستخدمتها لنشر مجموعة من الادعاءات العنصرية. ولم تلبث أن فقدت وظيفتها. فُصِلت من العمل على الرغم من إبلاغها مديرها بأن شخصاً ما يحاول مراراً تحويل حياتها الأسرية إلى كابوس.
واستعادت “إيمي” السيطرة على حساب لينكد إن في الوقت المناسب وتمكنت من حذف حساب تويتر. ولكن لبعض الوقت لم تتمكن “إيمي” من العثور على وظيفة في مجالها بسبب كل تلك المشاكل. فلجأت إلى العمل لدى شركة “أوبر” لتلبية احتياجاتها، ولكن ذلك لم يكن كافياً فكانت على وشك أن تفقد منزلها.
صرَّح ابنها “بلير” إلى صحيفة Fusion قائلاً: “إذا بحثتم على موقع جوجل عن اسم والدتي، فستجدون جميع مقالاتها الأكاديمية والإنجازات التي قدمتها”. “والآن أصبحت: مجرمة، هل يُعقل ذلك”.
يلقي بعض الناس اللوم على “بلير ستريتر” الذي كان قريباً من دوائر الجرائم الإلكترونية ولم يستطع أن يكون له صديق أو أكثر في هذا المجال. وعلى أي حال، فهذه هي عائلة “ستريتر” التي دفعت ثمن “أخطاء” ابنها حيث عجزت ألبتة عن مواجهة كل أعمال القرصنة الموجهة ضدها.
وبعد ما سبق، هل مِن وسيلةٍ للحماية؟
تثبت هذه القصص استحالة حماية نفسك من الاختراقات المستهدفة؛ لذا إذا كان لديك شيء ما تود الاحتفاظ به بعيداً عن الانظار فيجب عليك عدم تحميله على شبكة الإنترنت. ومن حسن الحظ، فمعظم الأشخاص خارج دائرة اهتمام القراصنة المحترفين. وبذلك سيكون علينا أنا وأنت حماية أنفسنا من مرتكبي الجرائم الذين يستهدفون العامة. وهناك العديد من “المتخصِّصين” على الإنترنت، ولحسن الطالع، فإنهم يستخدمون أكثر الأساليب سهولةً.
نوصيك باتباع ما يلي:
- عليك الاطلاع على أسباب الاصطياد الإلكتروني وكيفية تجنبه.
- إعداد كلمات مرور آمنة ومميزة لجميع الحسابات.
- قراءة موضوعات عن كيفية استخدام الإنترنت بأمان.
- التوقف عن استخدام شبكات الواي-فاي العامة في الاتصالات المهمة واكتشاف المعاملات الصحيحة والخاطئة للمعاملات المالية عبر الإنترنت.
تثبيت حل حماية مناسب لجميع الأجهزة الخاصة بك. أجل، فهاتفك الذكي وجهازك اللوحي في حاجة إلى حماية. وبالتأكيد، فلا يسعنا إلا أن نوصيك باستخدام الحل الحائز على جوائز — Kaspersky Internet Security — Multi Device.