انتبهوا.. هجمات تصيد إلكتروني متطورة تستهدف صحفيين وحقوقيين

- ‎فيتقارير

رصد معمل "سيتزن لاب"، المتخصص في فضح التجسس الإلكتروني، بالتعاون مع منظمة العفو الدولية، هجمات تصيد إلكتروني متطورة جديدة تستهدف صحفيين ومدافعين عن حقوق الإنسان من الشرق الأوسط وشمال إفريقيا.

وقال تقرير نشره الطرفان، إنه تم كشف هذه الهجمات في شهر يوليو 2019، وإن الهجمات استهدفت الصحفيين والحقوقيين ممن لديهم "وعي أكثر بمواضيع الأمن الرقمي واختاروا معايير حماية أكثر"، ونشر تحليل لهذه الهجمات وتفاصيلها.

التقرير أكد أن الهجمات الحالية مرتبطة بهجمات مشابهة في ديسمبر 2018 تم فضحها، ولكنَّ المهاجمين هذه المرة جربوا طريقة جديدة لأول مرة، بحيث يسعون للسيطرة على الميل أو الحسابات الإلكترونية عبر رسائل تصل إلى المستهدف، تقول له مثلا إنه تم اكتشاف من يسعي لتهكير ميله ويطالبونه بإعدادات جديدة.

تفاصيل الهجمات

في ديسمبر 2018، وثقت منظمة العفو الدولية هجمات تصيد إلكتروني واسعة النطاق موجهة لاستهداف عدد من المدافعين عن حقوق الإنسان في الشرق الأوسط وشمال إفريقيا، في تقريرها المعنون "عندما تكون أفضل الممارسات غير كافية". حيث وثق ذلك التقرير كيف قام المهاجمون على وجه التحديد بتطوير تقنيات لاستهداف المدافعين عن حقوق الإنسان الذين اتخذوا خطوات إضافية لتأمين حساباتهم على الإنترنت، مثل الاستعانة بمقدمي خدمات البريد الإلكتروني الأكثر أمنا واحتراما للخصوصية، أو تفعيل خاصية التحقُّق بخطوتين على حساباتهم على الإنترنت.

لاحقا وفي شهر يوليو 2019، شارك العديد من المدافعين عن حقوق الإنسان مع منظمة العفو الدولية، مرة أخرى، ما تلقوه من العديد من مراسلات إلكترونية كيدية تكشف عن وجود حملة جديدة للتصيد الإلكتروني الموجه، والتي يعتقد أنها مدبرة من قبل نفس المهاجمين أو من قبل جماعة وثيقة الصلة بهم (حكومات الانقلاب والمعادين للربيع العربي).

ما هو التصيد الإلكتروني؟

التصيد الإلكتروني لكلمات المرور (أو التصيد القائم على سرقة كلمات المرور)، عبارة عن مكيدة تقنية تهدف إلى الوصول إلى بيانات الولوج لحسابات شخصية (أي اسم المستخدم وكلمة السر).

والمكيدة قائمة على إنشاء موقع إلكتروني ينتحل صفة الموقع الأصلي، ويحاكي صفحة الولوج إلى الحساب الخاص بخدمة معينة على الإنترنت، مثل "جي ميل" أو "فيسبوك"، لخداع المستخدم للإفصاح عن البيانات في الحقول المبينة، وبمجرد إدخال البيانات تنتقل إلى المهاجم.

ولا يزال التصيد الإلكتروني لبيانات تسجيل الدخول يمثل تهديدا حرجا للمدافعين عن حقوق الإنسان عبر شبكة الإنترنت، فنظرا لبساطته وتكلفته الاقتصادية المنخفضة نسبيا، يعد التصيد الإلكتروني تكتيكا مفضلا لدى المهاجمين، حيث نلاحظ بصفة منتظمة وقوع المستهدفين ضحية له بالمئات إن لم يكن بالآلاف.

إلا أن تصيد بيانات تسجيل الدخول ليس بسيطا دائما؛ حيث اتخذت هذه الهجمات الجديدة خطوات حديثة من نوعها للتغلب على تدابير التأمين التي يلجأ إليها المستهدفون.

التقنيات المتطورة التي يستخدمها المهاجمون

يستخدم محترفو التجسس من المهاجمين برامج تتكيف مع التغيرات الحادثة في عالم التكنولوجيا، والتجاوب مع أحدث ما ظهر على صعيد التحقّق من بيانات تسجيل الدخول الحسابات على الإنترنت وأفضل الممارسات في مجال التأمين ضد التصيد عن طريق تطوير طرق جديدة للالتفاف حولها.

وأبرز طرق الاحتيال هذه لقرصنة الميل أو حسابات التواصل الاجتماعي هي:

(أولا): حدث كلمة المرور

هي من بين أكثر الخدع شيوعا في مجال الهندسة الاجتماعية التي تُستغل في حملات التصيد الإلكتروني لبيانات تسجيل الدخول، حيث تُعتبر حيلة "تغيير كلمة المرور" معينا لا ينضب أبدا.

ففي هذه الحملة الأخيرة مثلا، أرسل المهاجمون رسائل بريد إلكتروني إلى الأشخاص المستهدفين انتحلوا فيها صفة موقع "غوغل"؛ بزعم تنبيه المرسل إليهم إلى وجود محاولات دخول مشبوهة وغير ناجحة على حساباتهم، واقتراح تأمين هذه الحسابات.

وهذه الرسائل تلعب على الإيهام بأن الأمر عاجل ويدعو للخوف؛ بهدف حمل المستهدفين على الإفصاح عن بيانات تسجيل الدخول، اعتقادا منهم أن موقع "غوغل" سيساعدهم على تغيير كلمات المرور الخاصة بهم.

وفي هذه الحملة الأخيرة، اتخذ المهاجمون المزيد من الحيطة لجعل رسائلهم الكيدية وصفحات التصيد التي أنشئوها تبدو ذات مصداقية قدر الإمكان، حتى بات التعرف على مثل هذه الهجمات أمرًا في غاية الصعوبة.

وكمثال لرسالة بريد إلكتروني بقصد تصيد البيانات، تمّت مشاركتها مع منظمة العفو الدولية، ظهر فيها أيقونة للضغط عليها في الرسالة الكيدية تحمل رابطًا مشروعًا لموقع "غوغل"، وهوaccounts.google.com :، حيث يستغل المهاجمون إجراء إعادة التوجيه الذي يستخدمه "غوغل" لتوجيه المستهدفين أولا إلى صفحة مشروعة تابعة لغوغل تُستخدم كشَرَكٍ خداعي لإعادة توجيه المستهدف إلى صفحة التصيد الفعلية.

هذه الصفحة هي بالفعل صفحة الدخول الأصلية على حساب على موقع "غوغل"، وليس لها أي وظيفة أخرى بالنسبة للمهاجم سوى أنها تجعل الرابط الموجود في الرسالة الكيدية يبدو مشروعا لتبدو الرسالة أكثر إقناعا، وتجعل الإجراء أكثر مصداقية.

وبعد الدخول (إذا لم يكن الهدف قد دخل على حسابه على الموقع أصلا) تتم إعادة توجيه الهدف إلى استمارة كيدية لتغيير كلمة المرور؛ فإذا ملأ بياناتها تمكن المهاجمون عن طريقها من الدخول على حساب الضحية.

وثمة طريقة أخرى استخدمها المهاجمون في هذه الحالة، ألا وهي استضافة الصفحات الكيدية مباشرة على البنية التحتية المشروعة الخاصة بموقع "غوغل".

فمثلا الاستمارة الوهمية لتغيير كلمة المرور يتم استضافتها على العنوان script.google.com. وفي مناسبات أخرى قام المهاجمون باستضافة الصفحات الكيدية على site.google.com.

وهنا يستغل المهاجمون هذه الخدمة لتحميل صفحات تصيد إلكتروني تنتحل صفة "غوغل".

وقد يشك المستهدفون ذوو الخبرة الواسعة في مجال التكنولوجيا، ممن تلقوا تدريبا على أمن الشبكة العنكبوتية، في أسماء النطاقات التي تظهر في شريط العنوان في المتصفح والتي لا تبدو مشروعة.

ولكن باستخدام هذه الحيلة، قد ينخدع أولئك المستهدفون الواعون نسبيًّا بأمور تأمين الحسابات، فيظنون أن صفحات التصيد ما هي إلا صفحات مشروعة.

(ثانيا) عبر موقع "أوتلوك" باستخدام تطبيقات خارجية كيدية

بدلا من إنشاء صفحات وهمية للدخول على حساب أو استمارات وهمية لتغيير كلمة المرور، ومن ثم الاستيلاء على بيانات تسجيل الدخول الخاصة بحسابات المستهدفين، يلجأ المهاجمون أحيانا إلى استخدام ما يشار إليه عادة باسم "التصيد الإلكتروني عبر OAuth""، وبروتوكول أوث OAuth هو معيار خاص بشبكة الإنترنت، يُستخدم للسماح بالتحقق من هوية المستخدم عبر خدمات خارجية بدون الحاجة إلى إعطاء كلمة المرور.

ويشيع استخدامه من جانب مطوري التطبيقات المشروعة لإتاحة الاتصال بين برمجياتهم وبين الحسابات الموجودة على الشبكة.

فمثلا قد يحتاج تطبيق معين إلى استخراج تفاصيل حجز الرحلات الجوية والإقامات الفندقية الخاصة بك بطريقة أوتوماتيكية من حسابك على موقع "أوتلوك". وقد يحتاج أحد تطبيقات معالجة البريد الإلكتروني السماح لك بالاتصال بحسابك على "جي ميل".

ولكن بدلا من ذلك، يستخدم المهاجمون هذه البنية نفسها لإنشاء تطبيقات خارجية كيدية ليحاولوا خداع المستهدفين للسماح لهذه التطبيقات بالدخول على حساباتهم. وهكذا لا يحتاج التصيد الإلكتروني عبر "بروتوكول أوث" إلى سرقة بيانات تسجيل الدخول، فكل ما يفعله المهاجمون هو استغلال وظيفة مشروعة تتيحها المنصات على الإنترنت مثل "غوغل" و"مايكروسوفت" و"فيسبوك".

فنظرا لأن التحقق من بيانات الدخول على الحساب يتم على الموقع المشروع، لا توجد صيغة من صيغ التحقق بخطوتين– بما في ذلك مفاتيح الأمان – تكفل التصدي لهذا الخداع.

وكل ما يمكن للمستهدفين أن يتنبهوا إليه هو وجود تحذيرات أو إشارات مرئية في رسائل البريد الإلكتروني الكيدية أو في خطوات الدخول على الخدمة.

وعادة ما تكتشف شركات التكنولوجيا في نهاية الأمر وجود تطبيقات خارجية كيدية فتقوم بتعطيلها.

وقام المهاجمون بإعداد رسائل بريد إلكتروني كيدية تنتحل صفة "مايكروسوفت"، وتعطي تحذيرا كاذبا بوجود محاولات مشبوهة للدخول على حسابات الضحايا وتعرض عليهم "تأمينها"

وعند الضغط على الرابط الموجود في رسالة البريد الإلكتروني تجد أنه يؤدي في آخر الأمر إلى تلك الصفحة المشروعة لموقع "مايكروسوفت" والتي تطلب منك تأكيد تفعيل أحد التطبيقات الخارجية على حسابك، وهو "التطبيق الدفاعي لتأمين الهوتميل" Hotmail Security Defender

وتحذر من أنه سيتمكن من قراءة جميع رسائل بريدك الإلكتروني جهات الاتصال لديك. وفي بعض التنويعات الأخرى لهذه الهجمة، يسمى التطبيق الخارجي “التطبيق الدفاعي لتأمين أوتلوك" Outlook Security Defender

وللتحقق من كون جهازك يحتوي على أي تطبيقات خارجية متصلة بحسابك غير مرغوب فيها أم لا، ينبغي عليك الذهاب إلى موقع http://microsoft.com/consent ولو كنت قد وقعت ضحية لهذا النوع من الهجوم على وجه التحديد، فستجد إشعارا يشبه الشاشة التالية:

ثالثا: التصيد من "غوغل" باستغلال تطبيقات خارجية مشروعة

نظرا لشيوع إساءة استغلال أداة" OAuth" المعيارية على الإنترنت، أعلن موقع "غوغل" في أكتوبر 2018 أنه سيبدأ في تطبيق سياسات جديدة صارمة بشأن عملية التحقق والموافقة على التطبيقات الخارجية.

وربما بسبب هذه السياسات الجديدة ابتكر المهاجمون تقنية جديدة للتصيد الإلكتروني عبر OAuth  لم نرها من قبل.

حيث كان المهاجمون في معظم حالات التصيد الإلكتروني عبر OAuth يقومون عادة كما أوضحنا بإنشاء تطبيقات خارجية كيدية لسرقة البيانات (مثل رسائل البريد الإلكتروني) من حسابات المستهدفين، لكنهم في تلك الحملة الأخيرة بدءوا بدلا من ذلك باستغلال إجراءات التحقق التي تستخدمها التطبيقات الخارجية المشروعة والمعتمدة.

وقد وجدت العفو الدولية ومعمل سيتزن لاب في حالة الهجمات التي جمعاها من المدافعين عن حقوق الإنسان الذين أطلعونا على رسائل البريد الإلكتروني الكيدية التي أرسلت إليهم، أن المهاجمين يستغلون على وجه التحديد تطبيقا مشروعا وشائعا لمعالجة البريد الإلكتروني اسمه Mailspring" ميلسبرينغ"، وهو تطبيق يدعم العديد من خدمات البريد الإلكتروني، ومن بينها "جي ميل"

وللسماح للتطبيقات الحاسوبية أو تطبيقات الأجهزة المحمولة بالاتصال بحساب ما على "جي ميل"، يستخدم "Mailspring" أيضا معيا "OAuth"

ويتيح "غوغل" أربعة خيارات تستخدم OAuth لمطوري التطبيقات للحاسوب والهواتف المحمولة.

https://twitter.com/RamyRaoof/status/1164172606326607872