حظر مليوني رسالة تحتوي مرفقات من هذا النوع
حذّر خبراء أمن معلومات، المستخدمين، من التهديد المتنامي المتمثل بالأعداد المتزايدة من رسائل البريد الإلكتروني المخادعة، التي تحتوي على ملفات «إتش تي إم إل» HTML، وحظر باحثون بين يناير وأبريل من العام الجاري ما يقرب من مليوني رسالة بريد إلكتروني تصيدية تحتوي على مرفقات من هذا النوع من الملفات.
ويُعدّ استخدام ملفات «إتش تي إم إل» في رسائل التصيّد أحد أحدث الحيل الشائعة التي يلجأ إليها المحتالون في محاولاتهم الإيقاع بالمستخدمين.
أسلحة موجهة
وعادةً ما تكتشف محركات مكافحة البريد الإلكتروني غير المرغوب فيه، أو برمجيات مكافحة الفيروسات، هذه الروابط بسهولة، لكن استخدام مرفقات «إتش تي إم إل» في رسائل البريد تلك سمح لمجرمي الإنترنت بتجنب انكشافهم.
ولا يدرك الكثير من المستخدمين أن الملفات المرفقة في رسائل البريد الإلكتروني التي تصلهم، قد تكون غير آمنة، لذا فهم يفتحون تلك المرفقات باطمئنان، ليتبيّن أنها أسلحة خطرة وموجهة يستخدمها مجرمو الإنترنت للإيقاع بهم.
ويمكن للمحتالين تصميم مرفقات «إتش تي إم إل» لتبدو متطابقة مع صفحات في مواقع الويب الرسمية لبعض الشركات والخدمات، مستهدفين مستخدمي تلك المواقع لخداع ضحاياهم والإيقاع بهم عبر دفعهم إلى إدخال بيانات حساسة في نموذج خاص ضمن الصفحة الاحتيالية.
نوعان للمرفقات
وهناك نوعان أساسيان من مرفقات «إتش تي إم إل» التي يستخدمها مجرمو الإنترنت، الأول، يرسل فيه المهاجمون إلى المستخدم ملف «إتش تي إم إل» يحتوي على نص يدّعون أن فيه بيانات مهمة، كإشعار بنكي بشأن محاولة لتحويل مبلغ مالي كبير من حسابه، ويُطلب منه النقر فوق رابط إلى موقع البنك لإيقاف المعاملة، ما يقوده إلى صفحة تصيّد.
وفي بعض الحالات، لا تضطر الضحية حتى إلى النقر فوق الرابط، فعندما يحاول المستخدم فتح المرفق، سيوجّهه تلقائيًا إلى صفحة خبيثة، يُطلب منه فيها ملء نموذج بيانات لمراجعة الملفات المتعلقة بالعمل أو في الحالة المذكورة، حماية حسابه المصرفي من محاولة تحويل المال، أو حتى تلقي مدفوعات حكومية، ليكتشف لاحقًا أن بياناته الشخصية وتفاصيله المصرفية قد سُرقت.
صفحات كاملةالنوع الثاني من مرفقات «إتش تي إم إل» عبارة عن صفحات تصيّد كاملة، إذ تُعفي هذه الملفات مجرمي الإنترنت من تحمّل رسوم استضافة مواقعهم وتُجنِّبهم استخدام مواقع الويب؛ لأن نموذج التصيّد والبرنامج النصيّ المستخدم لجمع البيانات مُضمَّنان بالكامل في الملف المرفق، الذي يمكن عند استخدامه موقع تصيّد، تخصيصه اعتمادًا على الهدف المقصود وناقل الهجوم المستخدم لكسب ثقة الضحية.
وبوسع المحتال، مثلًا، أن يوزع بريدًا إلكترونيًا تصيّديًا بين موظفي شركة ما، بحيث يبدو وكأنه يطلب التحقق من أحد العقود، ولكنه في الواقع ملف خبيث.
وتحتوي هذه المرفقات على جميع السمات المرئية لتلك الشركة: شعارها وشكل هويتها المرئية وحتى اسم أحد المسؤولين فيها، باعتباره مرسل رسالة البريد. ويُطلب من الضحية عند فتح الملف إدخال بيانات اعتماد الدخول (اسم المستخدم وكلمة المرور) إلى حساب الشركة، من أجل الوصول إلى المستند، فتقع هذه البيانات مباشرة في أيدي مجرمي الإنترنت الذين يمكنهم استخدامها لاقتحام الشبكة المؤسسية.
أساليب مختلفة
وبينما يمكن أن حظر حلول الأمن رسائل البريد الإلكتروني المحتوية على مرفقات «إتش تي إم إل» مع نصوص خبيثة أو روابط تصيّد بنص عادي، بدأ مجرمو الإنترنت في اللجوء إلى أساليب مختلفة لتجنب انكشافهم وحظرهم، فيقومون بتشويه رابط التصيّد أو الملف الخبيث بأكمله باستخدام شفرة مشوشة أو غير صحيحة.
وبالرغم من أن هذا النصّ غير المهم وغير المتسق لا يظهر على شاشة المستخدم، فإنه يصعّب على محركات مكافحة البريد غير المرغوب فيه اكتشاف البريد الإلكتروني وحظره.
تنبيهات حماية وأوصت كاسبرسكي المستخدمين لحماية أنفسهم من محاولات التصيّد، بالتحقق من كل رابط قبل النقر عليه، بتمرير مؤشر الماوس فوقه لمعاينة عنوان URL، والبحث عن الأخطاء الإملائية أو أية اختلافات أخرى في كتابة العنوان، وعدم إدخال اسم المستخدم وكلمة المرور في أية صفحة إلا عبر اتصال آمن بالإنترنت، مع الحرص على البحث عن البادئة HTTPS قبل عنوان URL، والتي تشير إلى أن الاتصال بالموقع آمن.
وشددت على أهمية التذكر حتى عند ورود رسالة من جهة موثوقة، أنه ربما تعرّض البريد للاختراق، ما يستدعي الحذر في جميع المواقف وفحص جميع الروابط والمرفقات، ومنح الاهتمام للرسائل التي يبدو أنها واردة من مؤسسات رسمية، كالبنوك والجهات الضريبية والمتاجر الإلكترونية اهتمامًا خاصًا، يشمل حتى الرسائل الداخلية التي ترد من زملاء العمل، فليس صعبًا على المجرمين اختلاق خطاب مزيف يبدو رسميًا.
واختتمت كاسبرسكي، بضرورة تزويد موظفي الشركات بالتدريب على أساسيات الأمن الرقمي، وإجراء عمليات محاكاة لهجوم تصيد، للتأكّد من أن الموظفين يدركون كيفية التمييز بين رسائل البريد الإلكتروني التصيدية والحقيقية.
ويُعدّ استخدام ملفات «إتش تي إم إل» في رسائل التصيّد أحد أحدث الحيل الشائعة التي يلجأ إليها المحتالون في محاولاتهم الإيقاع بالمستخدمين.
أسلحة موجهة
وعادةً ما تكتشف محركات مكافحة البريد الإلكتروني غير المرغوب فيه، أو برمجيات مكافحة الفيروسات، هذه الروابط بسهولة، لكن استخدام مرفقات «إتش تي إم إل» في رسائل البريد تلك سمح لمجرمي الإنترنت بتجنب انكشافهم.
ولا يدرك الكثير من المستخدمين أن الملفات المرفقة في رسائل البريد الإلكتروني التي تصلهم، قد تكون غير آمنة، لذا فهم يفتحون تلك المرفقات باطمئنان، ليتبيّن أنها أسلحة خطرة وموجهة يستخدمها مجرمو الإنترنت للإيقاع بهم.
ويمكن للمحتالين تصميم مرفقات «إتش تي إم إل» لتبدو متطابقة مع صفحات في مواقع الويب الرسمية لبعض الشركات والخدمات، مستهدفين مستخدمي تلك المواقع لخداع ضحاياهم والإيقاع بهم عبر دفعهم إلى إدخال بيانات حساسة في نموذج خاص ضمن الصفحة الاحتيالية.
نوعان للمرفقات
وهناك نوعان أساسيان من مرفقات «إتش تي إم إل» التي يستخدمها مجرمو الإنترنت، الأول، يرسل فيه المهاجمون إلى المستخدم ملف «إتش تي إم إل» يحتوي على نص يدّعون أن فيه بيانات مهمة، كإشعار بنكي بشأن محاولة لتحويل مبلغ مالي كبير من حسابه، ويُطلب منه النقر فوق رابط إلى موقع البنك لإيقاف المعاملة، ما يقوده إلى صفحة تصيّد.
وفي بعض الحالات، لا تضطر الضحية حتى إلى النقر فوق الرابط، فعندما يحاول المستخدم فتح المرفق، سيوجّهه تلقائيًا إلى صفحة خبيثة، يُطلب منه فيها ملء نموذج بيانات لمراجعة الملفات المتعلقة بالعمل أو في الحالة المذكورة، حماية حسابه المصرفي من محاولة تحويل المال، أو حتى تلقي مدفوعات حكومية، ليكتشف لاحقًا أن بياناته الشخصية وتفاصيله المصرفية قد سُرقت.
صفحات كاملةالنوع الثاني من مرفقات «إتش تي إم إل» عبارة عن صفحات تصيّد كاملة، إذ تُعفي هذه الملفات مجرمي الإنترنت من تحمّل رسوم استضافة مواقعهم وتُجنِّبهم استخدام مواقع الويب؛ لأن نموذج التصيّد والبرنامج النصيّ المستخدم لجمع البيانات مُضمَّنان بالكامل في الملف المرفق، الذي يمكن عند استخدامه موقع تصيّد، تخصيصه اعتمادًا على الهدف المقصود وناقل الهجوم المستخدم لكسب ثقة الضحية.
وبوسع المحتال، مثلًا، أن يوزع بريدًا إلكترونيًا تصيّديًا بين موظفي شركة ما، بحيث يبدو وكأنه يطلب التحقق من أحد العقود، ولكنه في الواقع ملف خبيث.
وتحتوي هذه المرفقات على جميع السمات المرئية لتلك الشركة: شعارها وشكل هويتها المرئية وحتى اسم أحد المسؤولين فيها، باعتباره مرسل رسالة البريد. ويُطلب من الضحية عند فتح الملف إدخال بيانات اعتماد الدخول (اسم المستخدم وكلمة المرور) إلى حساب الشركة، من أجل الوصول إلى المستند، فتقع هذه البيانات مباشرة في أيدي مجرمي الإنترنت الذين يمكنهم استخدامها لاقتحام الشبكة المؤسسية.
أساليب مختلفة
وبينما يمكن أن حظر حلول الأمن رسائل البريد الإلكتروني المحتوية على مرفقات «إتش تي إم إل» مع نصوص خبيثة أو روابط تصيّد بنص عادي، بدأ مجرمو الإنترنت في اللجوء إلى أساليب مختلفة لتجنب انكشافهم وحظرهم، فيقومون بتشويه رابط التصيّد أو الملف الخبيث بأكمله باستخدام شفرة مشوشة أو غير صحيحة.
وبالرغم من أن هذا النصّ غير المهم وغير المتسق لا يظهر على شاشة المستخدم، فإنه يصعّب على محركات مكافحة البريد غير المرغوب فيه اكتشاف البريد الإلكتروني وحظره.
تنبيهات حماية وأوصت كاسبرسكي المستخدمين لحماية أنفسهم من محاولات التصيّد، بالتحقق من كل رابط قبل النقر عليه، بتمرير مؤشر الماوس فوقه لمعاينة عنوان URL، والبحث عن الأخطاء الإملائية أو أية اختلافات أخرى في كتابة العنوان، وعدم إدخال اسم المستخدم وكلمة المرور في أية صفحة إلا عبر اتصال آمن بالإنترنت، مع الحرص على البحث عن البادئة HTTPS قبل عنوان URL، والتي تشير إلى أن الاتصال بالموقع آمن.
وشددت على أهمية التذكر حتى عند ورود رسالة من جهة موثوقة، أنه ربما تعرّض البريد للاختراق، ما يستدعي الحذر في جميع المواقف وفحص جميع الروابط والمرفقات، ومنح الاهتمام للرسائل التي يبدو أنها واردة من مؤسسات رسمية، كالبنوك والجهات الضريبية والمتاجر الإلكترونية اهتمامًا خاصًا، يشمل حتى الرسائل الداخلية التي ترد من زملاء العمل، فليس صعبًا على المجرمين اختلاق خطاب مزيف يبدو رسميًا.
واختتمت كاسبرسكي، بضرورة تزويد موظفي الشركات بالتدريب على أساسيات الأمن الرقمي، وإجراء عمليات محاكاة لهجوم تصيد، للتأكّد من أن الموظفين يدركون كيفية التمييز بين رسائل البريد الإلكتروني التصيدية والحقيقية.