عصابة إلكترونية هددت أمن 500 مؤسسة حول العالم: كيف يمكن التصدي لهم؟

Silent Starling، العصابة الإلكترونية المتواجدة في غرب أفريقيا، والتي نجحت في الاحتيال إلكترونيا على 500 مؤسسة حول العالم. تمكنت من فعل ذلك عن طريق أحد أشهر طرق الاحتيال (Business Email Compromise) وهي عبارة عن هجمات للوصول لحسابات البريد الإلكتروني الخاص بالشركات، ولكنها أضافت بعض التعديلات لتصل لهذه النتيجة. في هذه الطريقة يعتمد المحتال على إرسال بريد إلكتروني، بحيث تبدو هذه الرسالة وكأنها من مصدر موثوق أو من قبل شخص تعرفه جيدًا، قد يُطلب فيها منك دفع فاتورة ما، أو تحويل أموال إلى حساب مزيف، وقد تنطوي الطريقة على برامج ضارة أو هندسة اجتماعية أو مزيج من الإثنين. وأكثر ضحاياها شيوعًا هم الشركات التي تستخدم التحويلات البنكية لإرسال الأموال إلى العملاء الدوليين.

ولكن العصابة فكرت ووجدت أن الاحتيال على موظف واحد في شركة لها العديد الزبائن الذين يمتلكون الأموال، يعتبر مضيعة للوقت والجهد، لهذا عملوا على جعل الموظف في أسلوبهم طعمًا أوليًا، ليتمكنوا عن طريقه من اصطياد زبائن الشركة التي يعمل بها. يطلق على الطريقة التي يستعملونها، (Vendor Email Compromise) أو ما يعرف بهجوم الوصول للبريد الإلكتروني الخاص بالمورد.

الاحتيال بالفواتير المزيفة أدى في عام 2018 لخسائر مالية تقدر بـ 1.5 مليار دولار.

 

من الاستغلال إلى التنفيذ

المحتالون في هذا النوع من الهجمات يمكننا تشبيههم بصيادين صبورين ينتظرون اصطياد الحوت الكبير، بحيث يقومون بعملية الاحتيال على ثلاث مراحل أساسية:

إيجاد الطعم المثالي

يقومون في البداية باستهداف موظف في الشركة التي يرغبون بالوصول لزبائنها، وغالبا ما يكون من القسم المالي، ويتم ذلك عن طريق إرسال بريد إلكتروني متقن العمل لصفحات مثل: إعادة تسجيل الدخول من OneDrive أو Microsoft، أو عن طريق البريد الصوتي وإشعارات الفاكس، للوصول لحساب الموظف -هذه رسالة احتيال تم استعمالها من قبلهم على أحد الموظفين- ويمكنك رؤية الإتقان الموجود في هذه الرسالة بحيث إن كنت على عجلة أو لم تقرأ هذه المقالة بعد ستقع ضحية لهم:

ربط الطعم بالسنارة

“الطائر المبكر ينتظر الدودة بصبر ليلتهمها”. بعد الحصول على بيانات حساب الموظف الإلكتروني، يستعملون أسلوبهم المفضل في جمع المعلومات، عن طريق آلية تسمح لهم بإعادة توجيه كل رسالة واردة للبريد الإلكتروني الخاص بالموظف، حيث سيتمكنون من الحصول على نسخة من كل رسالة واردة. والموظف الضحية الأولى من جهة أخرى، لن يشتبه بحصول أي شيء لأن بريده لا زال يعمل كما هو، فليس هناك أي أثر لأي شيء مريب بالنسبة له. بينما هم خلف الكواليس يتجسسون بصمت، ويقومون بتجميع المعلومات مثل:

• من هم عملاء البائع؟
• كيف تبدو فاتورة البائع القياسية؟
• متى تكون مدفوعات العملاء مستحقة؟
• كم من المال مدين لعملاء معينين؟
• أي جهات اتصال العملاء هي المسؤولة عن المدفوعات؟
  
  لهذا نجد أن معظم الضوابط الأمنية الشائعة التي تستخدم الهندسة الاجتماعية غير قادرة على التعرف على هذا النوع من الاحتيال، خاصةً عندما يتعذر تمييزها تقريبًا عن تلك التي يتم إرسالها عادةً بواسطة البائع أو الشركة.

  سرقوا 700 حساب بريد إلكتروني لموظفين يتبعون أكثر من 500 مؤسسة في 14 دولة.

إذا، كم يبلغ حجم العصابة؟

بدأت هذه العصابة نشاطها في عام 2015 وآخر نشاطاتها في نهاية عام 2018 وهو ما ركزنا عليه في هذا المقال، عدد أفراد العصابة غير معروف وعلى الأغلب سيكون أكبر مما نعلم، ولكن الأبحاث والجهات المختصة نجحت في العثور على هوية ثلاث أشخاص يعتبرون من المسؤولين على العمليات.

ما الذي يميز هجمات VEC؟

إن الشيء المثير للاهتمام حقًا بشأن هذه الهجمات، والمخيف، بصراحة تامة، هو أن رسائل البريد الإلكتروني هذه دقيقة في السياق. الخط الزمني يبدو صحيحًا، الفاتورة تبدو هي نفسها تمامًا. الفرق الوحيد هو أنه في الفاتورة، هناك حساب مصرفي مختلف، يعيد التوجيه إلى حساب تسيطر عليه الجهات المحتالة. وهكذا عندما تنظر إلى كل شيء من النصائح الموجهة بالمجمل مثل: “أن رسائل التصيد تحتوي على أخطاء نحوية” أو “صياغة لغوية ضعيفة”، لا تنطبق على هذا النوع من الهجمات، وهذا ما يزيد من صعوبة اكتشافها -رسم توضيحي لخطوات الاحتيال عن طريق VEC-.

كيف يمكن لك حماية نفسك من هذا النوع من الاحتيال؟

في هذا النوع من الهجمات الزبون الذي تلقى رسالة التصيد المالي المتقنة ليس له سيطرة على الموضوع، أنهم ضحايا في النهاية. هذا هو الجزء الساخر حول هذه الهجمات، هو أن الضحايا الأوائل ليسوا هم الضحايا الذين يخسرون الكثير من الأموال.
وستجد في هذه الحالة احتمالين يجب عليك النظر لحلولهم: كيف تتصدى وتمنع هذا الهجوم، وإن حدث بالفعل معك، كيف تستطيع الخروج بأقل الخسائر منه؟

التصدي للهجوم: الاستعداد والوقاية

• التدريب، يساعد تدريب الموظفين في الشركات من رفع قدرة تعرفهم على العلامات المثيرة للريبة في أي بريد يصلهم، فمن خلال توظيف إجراءات وسياسات وقائية، ويتحتم على كل موظف اتباعها، ستتمكن الشركات من وقاية بياناتها الحساسة، فالتدريب على كشف طرق هذه الجرائم الإلكترونية والاحتراز منها سيعطي الشركات الفرصة في زيادة قوة الدفعات الخاصة بهم، وتجنب الوقوع في الفخاخ.
• وضع خطة عمل، يمكن لـ (هجمات الوصول للبريد الإلكتروني للشركات) أن تكون مخادعة بشكل كبير وذلك لاعتمادها إلى حد كبير على الهندسة الاجتماعية، أي أن هذه الهجمات صممت لكي تكون واقعية وقابلة للتصديق، فحتى أفضل الموظفين وأكثرهم خبرة يمكن أن يقع ضحية احتيال أحد هذه الهجمات، لهذا يجب على الشركات أن توفر عمليات صارمة لمعالجة طلب البريد الإلكتروني وتدقيقه عبر فحصه بدقة لاكتشاف ما إن كان طلب البريد الإلكتروني مخادع أو لا.
• توظيف التقنية في التعرف على التهديدات المحتملة، يمكن القول بأنها أهم نقطة، باستخدام آلية الدفاع التقنية الصحيحة، سيصبح لدى الشركات وسيلة دفاع متقدمة ومهيأة بخيارات لاكتشاف الرسائل المشبوهة، عن طريق بعض الخصائص مثل: الموقع الذي تم الإرسال منه، وعنوان الرسالة. ويجب أن تكون هذه التقنيات قادرة على تحديد وتصنيف الرسائل المشبوهة. أحد الطرق المعتمدة والتي يمكن للشركات الاستفادة منها هي dynamic classification هذا النهج يوظف خوارزمية ديناميكية تحدد العلاقة بين المرسل والمستلم للبريد، وتحدد ما مدى موثوقية الدومين (اسم النطاق المستعمل)، بالإضافة لاستخدامها لمجموعة من الخصائص الأخرى التي تسمح لها بتحديد أنواع هذه الهجمات وتصنيفها.

إن إحدى أفضل الطرق لمنع الخسارة المالية للزبائن التي يصل لها هذا النوع من التهديدات هي البقاء في حال من التيقظ والخروج من عملية التحويل التي طلبت منه، والتأكد من مدى صحة المعاملة قبل التحويل، وذلك بمكالمة أو بريد إلكتروني يتم إرساله بشكل منفصل إلى شخص الذي من المفترض أن تذهب له القيمة المالية.

في حال حدوث الهجوم: التوثيق والإقرار بذلك

إن أفضل طريقة للتعامل مع الهجوم هو التصدي له، ولكن في حال حدوثه بالفعل على الشركات النظر في فعل الآتي:
يجب على الشركات توثيق الهجوم والإقرار به، بغض النظر عن حجم الخسارة المالية، لهذا ينصح بأخذ الإجراءات القانونية بحق هذه الجرائم بأسرع وقت، وعند الإبلاغ عن هذا النوع من الجرائم يرجى تضمين الآتي في البلاغ للحصول على أقل الأضرار:

• تفاصيل البريد من عنوان المرسل واسمه، اسم المصرف ورقم الحساب المصرفي، الفاتورة التي تم استعمالها في الاحتيال والتفاصيل المتعلقة بها. في حال وجود مصرف وسيط يجب إدراج اسمه وعنوانه وأي معلومات إضافية يجب إدراجها وعدم الاستهانة بأهميتها.
• على الشركات إبلاغ المساهمين وذوي الشأن عن الضرر الحاصل، للنظر في كيفية احتواء الضرر، والأهم هو الإشارة للأسباب التي جعلت من هذا التهديد الإلكتروني ناجح، لتجنب هذه المسببات مستقبلًا ولحل نقاط الضعف التي أدت لحصول الاختراق.

وأخيرًا، مهما كانت الأوضاع من الجيد القيام بتدريب مستمر للموظفين حول آخر تطورات هذه التهديدات، فالأمر يبدأ بأن يكون لدينا الوعي بوجود المشكلة للاحتراس منها.

هل هذه المعلومات تعني نهاية تهديد VEC؟

عند التمعن في التفكير، سنجد أن الشيء الوحيد الثابت في مشهد التهديد الإلكتروني هو (التغيير). ستتطور هذه المجموعات دائمًا بمرور الوقت، سيستمر هذا الدافع المالي في دفعهم للاستمرار في جني الأموال، لأنه بالنسبة للعديد من هؤلاء المحتالين، هذه هي حياتهم المهنية. وبالتالي لن يتوقفوا، بل سيحاولون إيجاد طريقة جديدة لجعل الأمور أكثر كفاءة وفعالية بالنسبة لهم. على الرغم من أن هذا سيتطور إلى شيء آخر، إلا أن هذا النوع من الخدع الكلاسيكية سيظل موجودًا. هذا هو السبب نفسه وراء قيام مجموعات مثل: Silent Starling بهجمات VEC، وقد يبدو لك أنه نوع مختلف من التهديدات إلا أنه في حقيقة الأمر خليط من نوعين: (هجمات الوصول للبريد الإلكتروني للشركات) التقليدية، وفي نفس الوقت بالضبط يتم استعمال طرق التصيد والاحتيال عبر الفواتير. ونعلم أيضًا أنهم يجرون نوعًا من الحيل الاجتماعية المعقدة. لذلك هذا هو النظام البيئي الكبير الذي سيتغير باستمرار.

لمزيد من التفاصيل هنا