تتزايد أساليب التصيد الإلكتروني بشكل مستمر، مما يتطلب من المؤسسات أن تكون أكثر وعيًا واستعدادًا لحماية بياناتها.
تسعى خطة تصيد جديدة إلى خداع المؤسسات للحصول على بيانات تسجيل الدخول إلى Dropbox باستخدام استراتيجية تشويش متعددة المراحل.
نشرت شركة Forcepoint للأمن السيبراني يوم الاثنين بحثًا يتعلق بحملة هندسة اجتماعية عبر البريد الإلكتروني تم رصدها في العالم. تتبع الحملة نمطًا شائعًا: يقوم المهاجم بإرسال بريد إلكتروني إلى الهدف يطلب منه فتح ملف PDF مرتبط لمراجعة “طلب مزيف”.
يتضمن ملف PDF رابطًا لتسجيل الدخول إلى موقع تصيد Dropbox يبدو موثوقًا؛ يُطلب من الهدف استخدام عنوان بريده الإلكتروني المهني لتسجيل الدخول ومراجعة “الطلب”، مع التأكيد على أنه بمجرد القيام بذلك، سيتم إرسال رد تلقائي إلى مرسل البريد الإلكتروني. يقوم المهاجم بجمع بيانات اعتماد Dropbox للهدف وبيانات الموقع، بينما يظهر موقع التصيد رسالة “اسم المستخدم/كلمة المرور غير صحيحة”.
ما يجعل هذه الحملة مميزة هو أن ملف PDF أو البريد الإلكتروني أو موقع التصيد لا يحتوي على أي نوع من البرمجيات الخبيثة التقليدية. سرقة البيانات هي الهدف النهائي. بينما قد يدفع ذلك البعض للتساؤل، “ما الفائدة؟”، فإن هذه الجوانب وغيرها ترسم صورة لخطة غير متوقعة ومدروسة. وإذا كانوا قادرين على تجاوز فحوصات الأمان والوصول إلى صناديق البريد الإلكتروني للموظفين، فهي خطة تستحق الانتباه.
ما الذي يجعل هذه الحملة التصيدية على Dropbox فعالة للغاية
يتضمن ملف PDF المرفق برسالة البريد الإلكتروني رسالة قصيرة ورابطًا يدعو الهدف لقراءة الملف الفعلي. ينقر الهدف على الرابط ويُرسل إلى ملف PDF غير واضح مستضاف على خدمة سحابية شرعية يبدو كفاتورة أو نموذج طلب، مع رابط فوقه يقول، “ملف PDF جاهز” ويطلب “انقر هنا”. هذا الرابط الثاني هو الذي يقود إلى تسجيل دخول Dropbox المزيف.
لا يحتوي الطُعم على برمجيات خبيثة، بينما يقدم نفسه بشكل بسيط واحترافي. كما أنه يأتي من عنوان بريد إلكتروني داخلي (إما مزور أو مخترق)، مما يجعل الطلب يبدو روتينيًا بينما يتجاوز فحوصات مصادقة البريد الإلكتروني (بما في ذلك، كما يشير المنشور، SPF وDKIM وDMARC).
الرابط الأول لملف PDF، الذي يرسل المستخدمين إلى ذلك المستند قبل التصيد، مستضاف على Vercel (مزود استضافة سحابية شرعي) وبالتالي يتضمن عنوان URL متوافق مع تلك المنصة. هذا أيضًا يعزز الثقة.
عندما يصل المستخدم إلى تسجيل دخول Dropbox ويكتب بيانات الاعتماد، يحتوي الموقع على تأخير مدمج لمدة خمس ثوانٍ قبل إخبار المستخدم بأن بريده الإلكتروني أو كلمة المرور غير صحيحة، ليبدو كأنه تسجيل دخول حقيقي.
يتم جمع بيانات الاعتماد جنبًا إلى جنب مع بيانات النظام والموقع الخاصة بالمستخدم، والتي تُرسل إلى بوت على Telegram يتحكم فيه المهاجم. تمكّن هذه البيانات “الاستخدامات الإضافية مثل الاستيلاء على الحساب، الوصول الداخلي أو الاحتيال اللاحق”، كما كتب باحث الأمن في Forcepoint X-Labs برشانت كومار في المنشور.
كيف يمكن للمنظمات حماية نفسها
يتضمن منشور مدونة Forcepoint مؤشرات على التهديدات ويشير إلى أن منتجاتها محمية ضد هذه الحملة.
تظل العديد من أفضل ممارسات التصيد مفيدة هنا. لا تفتح مرفق PDF إلا إذا كنت تستطيع ضمان أنه جاء من مصدر موثوق. قبل فتح أي مرفق غير موثوق أو تلقي بريد إلكتروني مشبوه، احصل على تأكيد ثانوي شفهي أو بصري من الشخص الذي أرسله (مثل عبر مكالمة هاتفية) أو من صانع قرار ذي صلة داخل المنظمة. إذا تم إعطاؤك دعوة عاجلة للقيام بشيء مثل تسجيل الدخول إلى موقع ويب باستخدام بيانات اعتماد عملك، خذ لحظة لتقييم الطلب بشكل نقدي.
من المهم أن تبقى على اطلاع دائم بأحدث أساليب التصيد وأن تتبع أفضل الممارسات لحماية بيانات مؤسستك.
