ثلث صفحات التصيّد يتوقف نشاطها بعد يوم واحد من رصدها

حلّل باحثو كاسبرسكي دورة حياة صفحات التصيّد واكتشفوا أن ثلث هذه الصفحات تختفي من الوجود في غضون يوم واحد من رصدها، ما يجعل الساعات الأولى من حياة صفحة التصيّد الأكثر خطورة على المستخدمين. وتحرص الجهات التخريبية في الساعات الأولى من رصد صفحات التصيّد، على نشر مجموعة كبيرة من روابط التصيّد المؤدية إليها قبل أن تكتشف محركات البحث الأمنية هذه الصفحات وتُدخِلها في قواعد البيانات الخاصة بالحلول الأمنية التي تتكفل بمنع المستخدمين من الوصول إليها.

وفي الدراسة التي أعدها باحثو كاسبرسكي، حلل الباحثون 5,307 صفحات تصيّد بين 19 يوليو و2 أغسطس الماضيين، فوجدوا أن جزءًا ملحوظًا منها قدره 1,784 صفحة قد توقف نشاطها تمامًا بعد اليوم الأول من رصدها، بل إن العديد من الصفحات اختفت من الوجود في الساعات الأولى التي تلت رصدها؛ ففي وقت مبكر يصل إلى 13 ساعة بعد رصد الصفحات التي خضعت للدراسة، أضحى ربعها خاملًا، في حين لم تدُم نصفها لأكثر من 94 ساعة.

تصنيف صفحات التصيّد بحسب عدد أيام نشاطها

ويعتمد عمر صفحة التصيّد على اللحظة التي يصبح وجودها فيها معروفًا لمسؤولي الموقع، الذين يسارعون إلى إزالتها. حتى وإن قامت الجهة التخريبية بتوظيف خادم خاص بها على اسم نطاق تملكه، وأصبح نشاطها محلّ شُبهة احتيالية، يستطيع مسجّلو اسم النطاق حرمان الجهة من حق استضافة أي محتوى أو بيانات عليه.

وتظهر الصفحة الجديدة في المزيد من قواعد بيانات مكافحة التصيّد بمرور كل ساعة من عمرها، ما يعني أن عددًا أقلّ من الضحايا المحتملين سيزورونها بمرور الوقت منذ أن تُرصد لأول مرة. ونظرًا لأن دورة حياة هذه الصفحات قصيرة جدًا، فإن الجهات التخريبية تحرص على توزيع الروابط المؤدية إلى هذه الصفحات بمجرد إنشائها، لضمان الوصول إلى أكبر عدد ممكن من الضحايا المحتملين والإيقاع بأكبر عدد منهم في الساعات الأولى، والصفحات ما زالت نشطة.

وكثيرًا ما يختار المهاجمون إنشاء صفحة جديدة بدلًا من تعديل صفحة قائمة، ونادرًا ما يُقدمون على تغيير الصفحة لتجنّب حظرها. فمثلًا، إذا استخدم المحتالون علامة تجارية ما طعمًا، فقد يغيرونها إلى علامة تجارية أخرى. ومع ذلك، تُحظر معظم الصفحات بمجرّد أن تقرر الجهات التخريبية تغيير شكل نشاط الصفحة. وثمّة طريقة أخرى يتبعها المحتالون تتمثل في إنشاء عناصر رمزية عشوائية تكون غير مرئية للمستخدم ولكنها قادرة على منع محركات مكافحة التصيّد من حظرها لمدة زمنية غير محددة. لكن محرّك مكافحة التصيّد من كاسبرسكي قادر على الكشف عن هذه الحيل بمهارة عالية.

وتحاكي الكثير من الصفحات التي عُدّل محتواها لتجنّب الحظر “توزيعات PUBG”، التي تُعتبر من أشهر الأحداث التي تقع في اللعبة. ويغيّر المهاجمون محتوى الصفحة بالتزامن مع حلول موسم جديد، مثلًا، أو وقوع حدث مؤقت في اللعبة، أو لجعل صفحة التصيّد تشبه الصفحة الأصلية قدر الإمكان.

• 

• 

تقديم اللاعب بياناته الشخصية في توزيعة PUBG مزيفة يسهّل وقوع حسابه في أيدي المحتالين

وقال إيغور بدنوف الباحث الأمني لدى كاسبرسكي، إن المنفعة التي تحققها مثل هذه الدراسات لا تقتصر على تحديث قواعد البيانات الأمنية، معتبرًا أن نتائج هذه الدراسات يمكنها تحسين الاستجابة للحوادث. وأكّد أهمية تمتّع الشركات بالقدرة على صدّ أي هجوم يُشنّ عبر بريد إلكتروني غير مرغوب فيه وباستخدام روابط تصيّد، وإيقافه في ساعاته الأولى التي وصفها بـ “أثمن وقت في نشاط المهاجمين”. ودعا الخبير الأمني المستخدمين الذين يصلهم رابط مشكوك فيه إلى التريّث لبضع ساعات، موضحًا أن هذه المدة “تزيد احتمال وضع الصفحة في قواعد البيانات التي تمكّن الحلول الأمنية من حظرها، كما يمكن لصفحة التصيّد نفسها أن توقف نشاطها”. 

وطمأن بدنوف مستخدمي حلول كاسبرسكي إلى أنهم “يتمتعون بمستوى جيد من الحماية”، موضحًا أن الأمر لا يقتصر على قدرة الحلول الأمنية على الكشف عن محاولات التصيّد، وإنما يمتدّ إلى “حرص كاسبرسكي على إجراء الأبحاث والدراسات الكفيلة بتحسين قدرة حلولها على صد الهجمات”.

يمكن الاطلاع على التقرير الكامل حول دورة حياة صفحات التصيّد على Securelist.

وتوصي كاسبرسكي المستخدمين باتباع التدابير التالية لتجنب الوقوع ضحايا لهجمات للتصيد:

• تجنُّب تسجيل الدخول إلى الخدمات المصرفية عبر الإنترنت والخدمات المماثلة عبر شبكات الإنترنت العامة، التي تعتبر ملائمة ولكنها تنطوي على مخاطر. ومن الأفضل استخدام شبكات آمنة. إذ يمكن للمجرمين إنشاء شبكات إنترنت مفتوحة يستطيعون عبرها محاكاة عناوين مواقع الويب، وتوجيه المستخدم المتصل بهذه الشبكة إلى صفحة مزيفة.
• قد تبدو أحيانًا رسائل البريد الإلكتروني ومواقع الويب مماثلة للرسائل والمواقع الحقيقية. ويعتمد ذلك على مدى جودة أداء المجرمين لعملهم. لكن الروابط ستكون غير صحيحة على الأرجح، بوجود التهجئة المختلفة والأخطاء المتعمدة، لتوجيه المستخدم إلى موقع آخر.
• من الممارسات الآمنة الحرص على عدم إدخال اسم المستخدم وكلمة المرور إلاّ عبر اتصال آمن بالإنترنت. فحتى البادئة HTTPS ليست دائمًا مؤشرًا على أن الاتصال بالموقع آمن، لأن المحتالين أيضًا بوسعهم إصدار شهادات SSL.
• تثبيت حل أمني موثوق به واتباع توصياته، وستحلّ الحلول الآمنة غالبية المشاكل تلقائيًا وتنبهك إذا لزم الأمر.

أما لحماية الشركات، فتوصي كاسبرسكي بالإجراءات التالية:

• تزويد الموظفين بالتدريب الأساسي على السلامة في مجال الأمن الرقمي، وإجراء محاكاة لهجوم تصيّد للتأكّد من معرفة الموظفين سبل التمييز بين رسائل البريد الإلكتروني الأصلية والاحتيالية.
• استخدام حلّ لحماية النقاط الطرفية وخوادم البريد يتمتع بقدرات مكافحة التصيّد، مثل الحلّ Kaspersky Endpoint Security for Business، لتقليل فرصة الإصابة عبر رسائل البريد الإلكتروني التصيدية.
• من الضروري حماية الخدمة السحابية Microsoft 365. ويتضمن الحلّ Kaspersky Security for Microsoft Office 365 مزايا خاصة بمكافحة البريد غير المرغوب فيه ومحاولات التصيد، وحماية تطبيقات SharePoint وTeams وOneDrive، لضمان اتصالات آمنة للشركات.