تقنيات متطورة تعزز اقتصاد الجريمة الافتراضية

المجرمون الافتراضيون يعيدون ابتكار أساليب جديدة للهجمات الخبيثة

دبي-مكتب الرياض-عزالدين مسمح:

    قال تقرير حديث لشركة تريند مايكرو الشركة المتخصصة في أمن محتويات الإنترنت، إن المجرمين الافتراضيين لا يلجأون لاستخدام تقنيات حديثة لنشر الجريمة الافتراضية فقط، بل إنهم يقومون بإعادة اختراع صيغ من الهندسة الاجتماعية ليوقعوا في شراكهم كل من المستهلكين والشركات على حد سواء، حسبما جاء في تقرير للشركة بعنوان Trend Micro Threat Roundup and Forecast 1H 2008. وكنتيجة لذلك، شهدت الأشهر الستة الأخيرة ارتفاعاً ملحوظاً في تهديدات الويب، مع انخفاض مستمر في البرمجيات الإعلانية وبرمجيات التجسس التي يتم إنتاجها بواسطة أساليب تقنية قديمة، والتي لا تستطيع مواجهة الحلول الأمنية عالية المستوى.

استغلال الطبيعة البشرية عن طريق الهندسة الاجتماعية وأساليب التصيد

مع أن بعض خطط الهندسة الاجتماعية مثل خطة التصيد النيجيرية للاحتيال، وخطة السجين الإسباني، من الخطط المعروفة منذ حوالي عقد من الزمن، يواصل المجرمون الافتراضيون تحديث هاتين الوسيلتين للاحتيال في أي مناسبة تلائم استخدامهما. فعلى سبيل المثال، الأدوات والتقنيات المستخدمة لإنشاء الطبيعة التفاعلية الموجودة في مواقع الشبكات الاجتماعية أصبحت لغماً أرضياً بالنسبة للجريمة الافتراضية. ففي مارس الماضي، اكتشفت تريند مايكرو أكثر من 400أداة تصيد صممت لإنشاء مواقع للتصيد مستهدفة مواقع كل من Web 2.0 (أي مواقع الشبكات الاجتماعية، ومشاركة الفيديو، ومواقع الصوت على الإنترنت)، ومزودي خدمات البريد الإلكتروني المجاني، ومواقع البنوك، ومواقع مشهورة للتجارة الإلكترونية.

وفي الآونة الأخيرة، قامت صيغة جديدة من التصيد بتحذير الضحايا المحتملين من بريد إلكتروني تصيدي كوسيلة لتبدو لهم تلك الصيغة قانونية، ومن ثم خدعت المستخدمين للضغط على وصلة قادتهم إلى موقع للاحتيال. ويعمل مرسلو البريد التطفلي أيضاً على إعادة ابتكار أساليبهم القديمة. ففي فبراير حققت تريند مايكرو في محاولة للاحتيال الصوتي (aka vishing) فقد بدت الرسالة مقنعة، وقادت جميع الوصلات إلى صفحات قانونية مقابلة، ولكنها تضمنت رقم هاتف مزيف للمستقبلين يدعوهم لتحديث بيانات حساباتهم، والذي كان موضوعاً على الانتظار. وفور الاتصال برقم الهاتف، يتم سؤال المستخدمين عن رقم بطاقة البنك الخاصة بهم ورقم تعريفهم الشخصي، فاتحين حساباتهم البنكية مشرعة أمام المتصيدين عن دون قصد.

تطوير برمجيات خبيثة من تهديدات مختلطة

تم التعامل مع متغيرات البرمجيات الخبيثة كتهديدات مستقلة عن أصولها. أما اليوم، فيقوم مطورو تهديدات الويب الساعين لتحقيق الربح المادي بخلط مكونات من تهديدات مختلفة في صيغة تهديد ويب على شكل نموذج أعمال. وعلى سبيل المثال، يرسل مجرم افتراضي رسالة (تطفلية) تحتوي على وصلة مخفية في البريد الإلكتروني (وصلة خبيثة)، أو مضمنة في رسالة فورية. وحين يضغط المستخدم على الوصلة، يتم توجيهه إلى موقع على الويب يتم فيه تنزيل ملف (حصان طروادة) في جهازه. ويتحول حصان طروادة بعد ذلك إلى برنامج خبيث ويدخل إلى ملفات أخرى حيث يقوم بتسجيل معلومات مهمة مثل أرقام الحسابات البنكية (التصيد التجسسي). ومن الواضح أن التهديدات المختلطة أكثر صعوبة في مكافحتها، وأكثر خطورة بالنسبة للمستخدم.

استغلال التقنيات الحديثة

ويعتبر أسلوب fast-flux مثالاً آخر على إساءة استخدام المجرمين للتطورات على صعيد التقنية. وfast-flux آلية لتبديل مزود أسماء النطاق DNS تجمع شبكات نظير- لنظير، والأوامر والتحكمات الموزعة، وموازنة الأحمال المستندة إلى الويب، وإعادة توجيه البروكسي لإخفاء المواقع التي تقدم التصيد. وتساعد fast-flux مواقع التصيد في البقاء عاملة لفترات طويلة للإيقاع بمزيد من الضحايا. فمثلاً، يواجه الباحثون تحدياً كبيراً في تحديد نطاقات Storm الخبيثة، وذلك لأن مطوروها يستخدمون أساليب fast-flux لتفادي اكتشافهم.

ارتفاع في تهديدات الويب مصحوباً بانخفاض في البرمجيات الإعلانية

شهدت تريند مايكرو زيادة كبيرة في أنشطة تهديدات الويب خلال النصف الأول من 2008.إذ ارتفعت تهديدات الويب إلى أعلى مستوى لها في مارس مع تسجيل حوالي 50مليون تهديد، مقارنة مع تسجيل 15مليوناً فقط في ديسمبر 2007.أما البرمجيات الإعلانية، وبرمجيات التعقب، وبرمجيات keyloggers التي تقوم بتسجيل ضربات المفاتيح على لوحة المفاتيح، وبرمجيات freeloaders، فقد شهدت فترة من الانخفاض. ففي مارس 2007وجدت تريند مايكرو أن 45بالمائة من أجهزة الكمبيوتر الشخصي كانت مصابة بالبرمجيات الإعلانية، أما في إبريل 2008فكانت 35بالمائة فقط من الأجهزة مصابة بهذه البرمجيات. وفي مايو 2007كان حوالي 20بالمائة من الأجهزة الشخصية مصابة ببرمجيات التعقب trackware، وانخفض ذلك الرقم إلى أقل من 5بالمائة في إبريل 2008.أما برامج keyloggers فقد أظهرت انخفاضاً قليلاً ولكن مستمراً وبنسبة أقل من 5بالمائة من الأجهزة المصابة (مقارنة بأكثر من 5بالمائة في سبتمبر 2007).

نتائج مهمة أخرى أوردها التقرير

وأورد التقرير في نتائج أخرى مختلفة أن مواقع الويب الشهيرة تصبح مستهدفة بشكل كبير، ففي بداية يناير الماضي، أطلقت عدة هجمات كبيرة من نوع SQL injection على آلاف صفحات الويب التي تعود لأكبر 500شركة، ولجهات حكومية، ومؤسسات تعليمية.

وبين التقرير أنه لا زالت التهديدات أثناء التنقل تلعب دوراً صغيراً على ساحة تهديدات الويب الجديدة، فقد اكتشفت تريند مايكرو في يناير برنامجاً خبيثاً متخفياً على صورة ملف ملتيميديا استخدم لإصابة هواتف نوكيا النقالة.

وأشار التقرير إلى أنه تأتي الدقة مع ازدياد المهارة فقد أصبح المجرمون الافتراضيون يستهدفون وبشكل أكبر المستخدميون الأغنياء، مثل التنفيذيين الذين يمثلون عدداً صغيراً من الأشخاص الأغنياء للحصول على نفاذ للحسابات المصرفية الكبيرة، وبيانات الدخول، أو حتى عناوين البريد الإلكتروني التي تطوف في سائر أنحاء المؤسسة. وأضح التقرير أنه انخفض حجم البريد التطفلي بشكل قليل بداية 2008، ولربما في أعقاب عطلة الأعياد للمتطفلين. وارتفع حجم هذا البريد في مارس مع انخفاض قليل في إبريل. وفي كل مرة ينخفض فيه البريد التطفلي يفسر باحثو تريند مايكرو ذلك على أنه إشارة على أن المتطفلين يقومون بإعادة تنظيم مجموعاتهم على نحو جديد، أو أنهم يختبرون تقنيات جديدة. بالإضافة إلى أنه ارتفعت البوتس من أكثر من 1.500.000في يناير إلى أكثر من 3.500.000في فبراير وتبع ذلك انخفاض كبير في مارس.

التوقعات للأشهر الستة المقبلة

وبموجب الأبحاث التي أجريت والملاحظات التي تم تدوينها حول الهجمات التي وقعت منذ بداية هذا العام، يتوقع باحثو تريند مايكرو بحدوث الأنماط التالية خلال الأشهر الستة المقبلة:

أولاً: ستبقى الهندسة الاجتماعية أسلوباً مهماً للهجمات، مع تطور حيل أكثر تعقيداً، وتتوقع تريند مايكرو أن يستغل المجرمون الافتراضيون المناسبات المتوقع حدوثها خلال الفترة القادمة مثل دورة الألعاب الأولمبية الصيفية، وموسم التسوق لافتتاح المدارس، وموسم الانتخابات الرئاسيةالأمريكية، وبطولات الكرة، وموسم العطلات في ديسمبر.

ثانياً: سيواصل المجرمون الافتراضيون استهداف نقاط الضعف المكتشفة حديثاً في البرمجيات والتطبيقات مثل QuickTIme، وRealPlayer، وAdobe Flash، وغيرها.

ثالثاً: ستواصل برمجيات الجريمة الافتراضية التي تعتمد على الأساليب والتقنيات القديمة مثل dialers و keyloggers، انخفاض أعدادها، كما ستقل أعداد تهديدات البرمجيات الرمادية مثل برمجيات التعقب trackware وbrowser hijackers، إذ إنها لا تستطيع العمل في هذا العصر الذي تنتشر فيه التقنيات الحديثة.

رابعاً: سيستمر حجم البريد التطفلي في الازدياد بشكل كبير، مع التنبؤ بمعدل عدد رسائل تطفلية يصل إلى 30- 50مليار رسالة في اليوم، وسيزداد البريد التطفلي والتصيد الاحتيالي في أغسطس مع موسم العودة للمدارس ودورة الألعاب الأولمبية الصيفية، كما ينتظر حدوث ارتفاع كبير آخر في شهر نوفمبر مع اقتراب موسم العطلات حيث يتوقع أن يصل عدد رسائل البريد التطفلي بين 170- 180مليار رسالة يومياً.

خامساً: كما هو الحال اليوم، سيبقى البريد التطفلي والتصيد الاحتيالي يشكلان جزءاً مهماً من التهديدات المختلطة، إذ يتم إرسال 0.2بالمائة أي واحد من كل 500طلب للويب إلى مواقع للويب مستضافة على أجهزة كمبيوتر مصابة، ومن المتوقع لهذا النمط أن يستمر.

سادساً: ستستمر البوتس والبوتنتس في لعب دور مهم في سلسلة التهديدات بالنسبة للبريد التطفلي، وسرقة المعلومات، والهجمات الموجهة، والحملات الهجومية الكبيرة.