بواسطة: أرييه جوريتسكي | مدونة Eset
في مايو 2023، كتبت تدوينة على مدونتي بعنوان " قد لا يهمك من أين تقوم بتنزيل البرامج، لكن البرامج الضارة تهتم بذلك" كدعوة إلى حمل السلاح، محذرًا من مخاطر تشغيل البرامج التي تم تنزيلها من ما يسمى "المصادر الموثوقة" للبرامج المقرصنة. بالطبع، كانت هذه الملفات بعيدة كل البعد عن كونها جديرة بالثقة وتحتوي على برامج ضارة، مثل برامج الفدية أو برامج سرقة المعلومات، تستهدف هذه الفئة السكانية على وجه التحديد. كان أملي أنه من خلال تثقيف الجمهور حول المخاطر التي تنطوي عليها، سيتعلم الناس كيفية تجنب مثل هذه التطبيقات الخطيرة والبحث عن بدائل أكثر أمانًا.
في العام أو نحو ذلك منذ تلك المدونة، لم تتحسن الأمور كثيرًا: من قراءة تقرير التهديدات لشركة ESET للنصف الأول من عام 2024 ، رأينا زيادة ملحوظة في عدد سارقي المعلومات الذين تم اكتشافهم. وهذه المرة، لم يتم تضمينهم فقط في ألعاب Windows المقرصنة، وأدوات الاختراق، وأدوات الغش، ولكن أيضًا في انتحال أدوات الذكاء الاصطناعي التوليدية. ولا يقتصرون على Windows أيضًا. تعمل عائلة GoldDigger من البرامج الضارة التي تسرق المعلومات على نظام التشغيل Android، وكانت حملة Ebury للبرامج الضارة طويلة الأمد نشطة في سرقة بطاقات الائتمان والعملات المشفرة وبيانات اعتماد SSH لأكثر من عقد من الزمان على أنظمة تشغيل تشبه UNIX.
إن النظر في عمليات اكتشاف سارقي المعلومات على مدى فترة عامين، من أغسطس 2022 إلى أغسطس 2024، يظهر أنهم ظلوا نشطين طوال هذه الفترة، على الرغم من وجود انخفاضات ملحوظة في النشاط حول شهري ديسمبر ويناير من كل عام.
نحن غير متأكدين من السبب الدقيق لهذا، ولكن التكهنات قد تكون بسبب انخفاض استخدام الكمبيوتر من قبل الضحايا أو المهاجمين الذين يأخذون استراحة لقضاء العطلات، وهو ما أصبح شائعًا حيث تحول المتسللون المجرمون الأفراد إلى مؤسسات إجرامية منظمة، تشبه شيئًا ما مثل الشركات.
في حين تعترف شركة ESET بالعديد من عائلات سارقي المعلومات، فإن العشرة الأوائل يشكلون ما يزيد قليلاً عن 56% من تلك التي اكتشفتها ESET، مع وجود Agent Tesla في المقدمة، بنسبة 16.2%.
من الأمور التي يجب وضعها في الاعتبار أنه في حين أن معظم هذه الاكتشافات تتعلق ببرامج ضارة تعتمد على نظام التشغيل Windows، فهناك أيضًا برامج لسرقة المعلومات تعتمد على الويب. ورغم أن معدلات مواجهتها كانت أقل، فمن المحتمل أنها تمكنت بنجاح من سرقة المعلومات من أشخاص لا يستخدمون برنامج ESET، لذا فقد يكون تأثيرها أكبر.
مع الأخذ في الاعتبار أن هذه الإحصائيات مستمدة من بيانات القياس عن بعد الخاصة بشركة ESET، فمن الممكن أن تظهر بيانات شركات الأمن الأخرى نتائج مختلفة. وهذا لا يرجع إلىلا يوجد أي شيء أفضل من الآخر ولكن نتيجة لعوامل مثل تصنيف التهديدات بشكل مختلف، ووجود قواعد عملاء مختلفة معملفات تعريف المخاطر المختلفة جدًا، والاستخدام في ظل ظروف مختلفة، وغير ذلك.
كل هذا يعني أننا جميعًا نستطيع الإبلاغ عن معدلات مواجهة مختلفة لأنواع مختلفة من البرامج الضارة، مثل سارقي المعلومات.
أحد الأشياء التي كنت أشعر بالفضول بشأنها هو ما إذا كانت بيانات ESETعلى غرار شركات الأمن الأخرى. على سبيل المثال، فيفي تقرير اتجاهات البرامج الضارة للربع الثاني من عام 2024، لاحظ بائع الحماية ANY.RUN أن سارقي المعلومات هبطوا من المركز الأول إلى المركز الرابع مقارنة بالربع السابق. الآن، هذا لا يعني أن هناك أي فرق في جودة البيانات بين ESET وANY.RUN. هناك نظام بيئي واسع من أدوات الأمان، ومع استخدام أدوات كل شركة بطرق متنوعة للغاية، فمن المتوقع حدوث هذه الأنواع من الاختلافات في التقارير.
سرقة المعلومات من أجل المتعة ولكن في الغالب من أجل الربح
تصنف شركة ESET سارقي المعلومات ضمن فئة تهديد منفصلة خاصة بهم تسمى Infostealer . في الأصل، تم تصنيفهم تحت أسماء أكثر عمومية مثل Agent أو Trojan حتى زاد حجم البرامج المشاركة في نشاط سرقة المعلومات إلى الحد الذي جعل من المنطقي تجميعهم تحت اسم مستعار خاص بهم. قد يصنفهم مطورو برامج الأمان الآخرون على نطاق أوسع على أنهم أحصنة طروادة للوصول عن بعد أو برامج تجسس، وهو أمر مقبول تمامًا أيضًا. الغرض من اكتشاف البرامج الضارة هو منعها أولاً وقبل كل شيء. تسمية هذه التهديدات والتصنيفات التي يتم تصنيفها بموجبها عادة ما تكون غير مهمة خارج أنشطة البحث أو أنشطة التسويق استجابةً لتفشي البرامج الضارة على نطاق واسع، مثل WannaCryptor.
لذا، مع وضع كل ذلك في الاعتبار، ما هو برنامج سارق المعلومات على وجه التحديد، وماذا يحدث عندما تقوم بتشغيله؟
وكما يوحي الاسم، فإن هذا النوع من البرمجيات الخبيثة يسرق أي معلومات يجدها على جهاز الكمبيوتر الخاص بك ويعتبرها مشغلها ذات قيمة. ولا يقتصر هذا على أسماء المستخدمين وكلمات المرور لمواقع الويب المختلفة التي يمكن الوصول إليها عبر متصفحات الويب المثبتة على جهاز الكمبيوتر الخاص بك، بل يشمل أيضًا أسماء المستخدمين وكلمات المرور للتطبيقات. ويمكن سرقة حسابات الألعاب، ونهب العناصر القيمة منها، واستخدامها في شراء الهدايا، أو إعادة بيعها بالكامل. ويمكن إعادة بيع الوسائط المتدفقة، وكذلك حسابات البريد الإلكتروني ووسائل التواصل الاجتماعي. وكـ"مكافأة إضافية"، يمكن للأخيرة استخدام حسابك لإغراء الأصدقاء عبر الإنترنت بتنزيل وتشغيل برنامج سرقة المعلومات، ليصبحوا ضحايا جدد له، وينشره مشغلوه أيضًا من تلك الحسابات، إلى ما لا نهاية.
لا تقتصر السرقة على أسماء المستخدمين وكلمات المرور. فقد تكون محافظ العملات المشفرة مربحة بشكل خاص، كما هو الحال مع رموز جلسات الحسابات. وفي هذا الصدد، قد يلتقط سارق المعلومات لقطة شاشة لسطح المكتب في وقت تشغيله حتى يتمكن مشغله من بيع لقطة الشاشة وعنوان البريد الإلكتروني لمجرمين آخرين لإرسال رسائل بريد إلكتروني احتيالية لاحقًا.
في حالة كنت تتساءلما هو رمز الجلسة، تحتوي بعض المواقع والتطبيقات على ميزة "تذكر هذا الجهاز" التي تتيح لك الوصول إلى الخدمة دون الحاجة إلى تسجيل الدخول مرة أخرى أو إدخال عامل المصادقة الثاني الخاص بك. يتم ذلك عن طريق تخزين رمز جلسة على جهازك. يمكن للمرء أن يفكر في الأمر على أنه شكل متخصص من ملفات تعريف ارتباط متصفح الويب الذي يخبر الموقع الذي تتم زيارته (أو الخدمة التي يتم الوصول إليها من خلال تطبيق) أن المستخدم قد تم مصادقته بنجاح والسماح له بالدخول. يبحث المجرمون عن هذه الملفات ويستهدفونها، لأنها تسمح لهم بتسجيل الدخول إلى حساب، متجاوزين الفحوصات العادية. فيما يتعلق بالخدمة، يبدو الأمر وكأنك تدخل إليها من جهازك المصرح به مسبقًا.
أعمال سرقة المعلومات
إن برامج سرقة المعلومات هي نوع من البرمجيات الخبيثة التي يتم بيعها غالبًا كخدمة، لذا فإن ما تفعله بالضبط أثناء وجودها على جهاز الكمبيوتر سوف يختلف قليلاً بناءً على ما يريد المجرم الذي اشتراها أن تبحث عنه وتسرقه. غالبًا ما تزيل هذه البرامج نفسها بعد الانتهاء من سرقة المعلومات من أجل جعل تحديد ما حدث ومتى أصعب. إذا كان الضحية يشعر بالإرهاق الشديد بسبب انتهاك خصوصيته لدرجة أنه يؤخر اتخاذ إجراء فوري، فهذا يمنح المجرمين مزيدًا من الوقت لاستخدام أو حماية المعلومات المسروقة من الكمبيوتر.
ولكن بما أن سارقي المعلومات هم من نوع البرامج الإجرامية كخدمة، فمن الممكن أيضًا أن يتم استخدامها لتثبيت برامج ضارة إضافية على النظام من أجل الحفاظ على الوصول إليه، فقط في حالة قرر المجرمون العودة إلى الكمبيوتر في المستقبل ومعرفة ما إذا كان هناك أي شيء جديد يمكن سرقته منه.
التعافي من هجوم سرقة المعلومات
ما لم تكن هناك حاجة إلى الاحتفاظ بمحركات الكمبيوتر كدليل، فإن أول شيء يجب القيام به هو مسح محرك الكمبيوتر وإعادة تثبيت نظام التشغيل الخاص به. وهذا يفترض أن الكمبيوتر تم نسخه احتياطيًا بانتظام ، وبالتالي فإن مسح محركه وفقدان جميع المعلومات المخزنة عليه (عليها؟) ليس بالأمر الكبير، لأنه تم نسخها احتياطيًا بالفعل في مكان آخر. إذا لم يكن الأمر كذلك، وكانت هناك بيانات قيمة ومهمة مخزنة على الكمبيوتر، فقد يكون من المنطقي إزالة محركه (أقراصه)، واستبداله بمحرك فارغ، وإجراء تثبيت نظيف لنظام التشغيل عليه. سيكون من المهم أيضًا الحصول على نوع من العلبة الخارجية لوضع محرك الأقراص فيها لاحقًا لنسخ البيانات غير الاحتياطية منه.
بعد مسح الكمبيوتر وتثبيت Windows وتثبيت برامج الأمان وتحديث كل ذلك، يمكنك بعد ذلك البدء في الوصول إلى الإنترنت باستخدام الكمبيوتر لتغيير كلمات المرور لجميع الحسابات عبر الإنترنت التي تم الوصول إليها من خلاله على الإطلاق.
يجب تغيير كل كلمة مرور إلى شيء ليس معقدًا فحسب، بل ومختلفًا أيضًا لكل خدمة. ببساطة، استبدال Summer2024 بـ Autumn2024 ، أو P@ssW0rd123 بـ P@ssW0rd1234 هو شيء يمكن للمهاجم تخمينه بسهولة بعد مراجعة جميع كلمات المرور المسروقة. بهذه الطريقة، إذا فقدت كلمة مرور (أو خمنها)، فلن يتمكن المهاجم من تخمين كلمات المرور الأخرى. تأتي بعض اشتراكات ESET مع مدير كلمات مرور، أو قد يحتوي متصفح الويب الخاص بك على مدير كلمات مرور مضمن فيه. تقدم ESET أيضًا أداة مجانية لإنشاء كلمات مرور معقدة .
إن تمكين المصادقة الثنائية (يشار إليها أحيانًا باسم المصادقة متعددة العوامل) لجميع الحسابات التي تدعمها سيجعل من الصعب للغاية على المهاجمين اختراقها في المستقبل، حتى لو كانوا يعرفون كلمات المرور الخاصة بهم.
عند تغيير كلمات المرور، من المهم أن تكون فريدة أو مختلفة عن أي كلمات مرور استخدمتها سابقًا: إذا كانت كلمات المرور الجديدة مشابهة بدرجة كافية لكلمات المرور القديمة، فمن المرجح أن يتمكن المجرم الذي لديه كل كلمات المرور القديمة من تخمين كل أنواع كلمات المرور الجديدة للخدمات المختلفة. لذا، تأكد من عدم استخدام كلمات مرور متشابهة أو كلمات مرور سابقة.
كما ذكرنا سابقًا، لا يتعين عليك تغيير كلمات المرور فقط، بل أيضًا رموز الجلسات. تستهدف هذه الرموز برامج سرقة المعلومات الضارة لأنها تسمح للمجرمين بانتحال شخصيتك من خلال اختطاف إحدى جلساتك المصرح بها سابقًا. تتمتع بعض مواقع الويب والتطبيقات بالقدرة على إظهار جلسات أو أجهزة نشطة أخرى قمت بالوصول إليها من خلالها، ولكن أيضًا تسجيل الخروج أو قطع الاتصال بتلك الجلسات النشطة الأخرى. افعل ذلك أيضًا.
على الرغم من خطر تكرار الأمر، فمن المهم القيام بذلك لكل خدمة عبر الإنترنت. حتى تلك التي لم تعد تُستخدم بانتظام. وهذا مهم للغاية لأي مواقع مالية، ومتاجر عبر الإنترنت، ووسائل التواصل الاجتماعي، وحسابات البريد الإلكتروني، لأنها من بين أكثر الأشياء قيمة للمجرمين. إذا كان هناك أي كلمات مرور معاد استخدامها أو حتى سمات متشابهة بينها، فسيحاول المجرمون الذين سرقوا بيانات الاعتماد رشها على جميع المتاجر والبنوك والخدمات الشائعة.
هناك نشاطان لا يتم التغاضي عنهما عند التعافي من هجوم سرقة المعلومات وهما (1) تقديم تقرير إلى الشرطة؛ و(2) إخطار المؤسسات المالية. قد يكون إعلام جهات إنفاذ القانون بوقوع جريمة مفيدًا في استرداد الحسابات المسروقة. وفي حالة المؤسسات المالية، فإن وجود تقرير للشرطة لمشاركته معهم يمكن أن يزيد من فرص استعادة الأموال المسروقة. حتى إذا لم تكن في الولايات المتحدة، فإن تقديم تقرير إلى مركز الامتثال لجرائم الإنترنت (IC3) يمكن أن يساعد وكالات إنفاذ القانون في تحديد وتعقب مجرمي سرقة المعلومات.
استراتيجيات دفاعية
إن التعامل مع عواقب هجوم سارق المعلومات عملية طويلة ومؤلمة قد تستمر لأيام أو أسابيع أو حتى أشهر. ورغم أننا قدمنا الأساسيات اللازمة لبدء عملية التعافي من مثل هذه الهجمات، فإن سارقي المعلومات ليسوا الطريقة الوحيدة ولا الأكثر انتشارًا لسرقة حسابات المرء. إن الأقفال والمفاتيح لهوياتنا على الإنترنت هي أسماء المستخدمين (والتي غالبًا ما تكون عناوين البريد الإلكتروني) وكلمات المرور.أصبحت كلمات المرور، وانتهاكات البيانات التي تنطوي عليها شائعة بشكل متزايد.
إن وجود حماية ضد سرقة الهوية يمكن أن يساعد في التخفيف من بعض أسوأ جوانب هذا النوع من الانتهاكات، ولكن مثل وجود بوليصة تأمين (أو نسخ احتياطية لبيانات الكمبيوتر الخاصة بهم)، فهو شيء لا يفكر فيه الكثير من الناس حتى يحدث لهم شيء سيء.
يعد موقع Have I Been Pwned (HIBP) التابع لـ Troy Hunt أحد المصادر الممتازة لمعرفة ما إذا كان عنوان بريدك الإلكتروني قد تعرض لاختراق بيانات ، حيث يتلقى الموقع باستمرار معلومات محدثة حول اختراقات البيانات التي حدثت في جميع أنحاء العالم وسيقوم بإعلامك إذا تم العثور على عنوان بريدك الإلكتروني في أي منها. وفي حين أن هذا لا يعني بالضرورة أن حساب بريدك الإلكتروني نفسه في خطر، فقد يعني ذلك أن الحساب قد يكون على الخدمة التي تم تسريبه منها. خدمة Have I Been Pwned (HIBP) مجانية للأفراد.
قد يكون من الصعب تجنب خروقات البيانات، لأنها نتيجة لمشاكل تأمينية تتعلق بأطراف ثالثة. من ناحية أخرى، يميل سارقو المعلومات إلى أن يكونوا نتيجة للانخراط في سلوك محفوف بالمخاطر. فيما يلي بعض الخطوات التي يمكنك اتخاذها لتقليل التأثير والتعافي بشكل أسرع من هذه الأنواع من الهجمات:
• استخدم كلمات مرور طويلة ومختلفة لكل موقع وتطبيق. يمكن أن يساعدك مدير كلمات المرور في تسهيل هذه العملية المعقدة بشكل كبير.
• قم بتمكين المصادقة الثنائية لجميع الخدمات التي تسمح بذلك. تعتبر الرموز المادية أو تطبيقات الهواتف الذكية أكثر أمانًا من البريد الإلكتروني أو إشعارات الرسائل القصيرة، حيث قد يتمكن المهاجم من الوصول إلى بريدك الإلكتروني أو هاتفك الذكي.
• تتيح لك بعض الخدمات رؤية جميع الأجهزة المسجلة الدخول إلى حسابك. راجع هذه الخدمات بشكل دوري وقم بتعطيل الأجهزة التي لا تعرفها أو التي لم تكن نشطة لفترة من الوقت.
• يستخدم خدمة مراقبة خرق البيانات أو حماية سرقة الهوية لإعلامك بالحسابات المخترقة.
• لا تستخدم برامج مقرصنة أو برامج اختراق أو أدوات توليد مفاتيح أو أدوات مشابهة مهما كانت موثوقة في نظرك. فمن السهل أن تجعل هذه البرامج تبدو آمنة وموثوقة عندما يقوم المجرمون بسرقة الحسابات التي صنفوها.
• حافظ على تحديث نظام التشغيل والتطبيقات لديك باستخدام أحدث الإصدارات المصححة بالكامل.
• استخدم أحدث إصدار من برامج الأمان من البائعين الموثوق بها.
• احصل على آخر الاتجاهات والقضايا والأخبار المتعلقة بالأمن من مدونات أمن المعلومات المفضلة لديك.
إن اتباع هذه النصائح قد يقلل من فرص أن تصبح ضحية، أو يساعدك على التعافي بشكل أسرع في حال أصبحت ضحية.