• الرئيسة
    منظمة سام
    عودة للرئيسة
  • 26/07/2023
    •  https://dg.samrl.org/l?a4886
    ملفات تعريف الجلسة المختطفة: التهديد السيبراني الكبير القادم
    الحقوق الرقمية |

    في عام 2022 وحده، تم الاستيلاء على أكثر من 87000 من أوراق الاعتماد المكشوفة المرتبطة بمدير تنفيذي على مستوى Fortune 1000 C من الجريمة السرية، وفقًا لتقرير SpyCloud's 2023 Identity Exposure Report . أصبح التهديد بالوقوع ضحية لهجوم إلكتروني خوفًا مستمرًا لقادة الأمن عبر المنظمات - ولسبب وجيه.

     

    الأصول المكشوفة، بما في ذلك أسماء المستخدمين وكلمات المرور، تسليح المجرمين الإلكترونيين بالبيانات الحساسة المطلوبة لاختراق الشبكات وارتكاب الجرائم - بما في ذلك الاحتيال واختطاف الجلسات والاستيلاء على الحساب وهجمات برامج الفدية. على الرغم من أن الشركات تؤكد على تدابير أمنية أكثر قوة، مثل مصادقة المستخدم الإضافية (على سبيل المثال، المصادقة متعددة العوامل ومفاتيح المرور)، فإن المجرمين يتطورون باستمرار لابتكار طرق لتجاوز هذه التدابير. تتضمن إحدى هذه الطرق استخدام ملفات تعريف ارتباط الجلسة النشطة المسروقة لارتكاب اختطاف الجلسة، مما يلغي فعالية وسائل الحماية المستخدمة تقليديًا.

    لتعزيز دفاعات الشبكة وحماية العملاء، يجب أن يكون لدى الشركات وقادة الأمن فهم أوضح لكيفية استخدام المجرمين للبيانات المسروقة لتحقيق مكاسب وكيف يمكن للمنظمات حماية نفسها من هذه التهديد.

    ملفات تعريف الارتباط للجلسة لها وجود في كل مكان عبر الإنترنت. يقوم كل موقع ويب وتطبيق بتخصيص ملف تعريف ارتباط أو رمز مميز للزائرين لتحديد المستخدمين الذين يصلون إلى الموقع. يتم تخزين سلسلة الأحرف هذه على الجهاز، مما يسهل إعادة الوصول إلى الموقع دون إعادة إدخال بيانات المصادقة.

    على الرغم من أن هذه القدرة تتيح تجارب شخصية وسلسة للمستخدمين العاديين، إلا أنها تشكل تهديدًا في الأيدي الخطأ. يمكن لمجرمي الإنترنت الذين يستخدمون البرامج الضارة المخترقة سرقة ملفات تعريف الارتباط - من بين عدد كبير من أنواع البيانات الأخرى - من الأجهزة المصابة وإدراجها في متصفحات مكافحة الكشف، مما يسمح لهم بالظهور كمستخدمين شرعيين في عملية تُعرف باسم اختطاف الجلسة.

     

    بصفتهم مستخدمًا شرعيًا، يمكن للمجرمين التنقل عبر الشبكة دون عوائق لإدامة الاحتيال، وتسهيل هجوم الفدية، وسرقة بيانات الشركة الهامة وغير ذلك. نظرًا لاستخدام ملفات تعريف الارتباط للجلسة لمصادقة هوية المستخدم، فلا يهم إذا قام المستخدم بتسجيل الدخول عبر اسم مستخدم وكلمة مرور أو مفتاح مرور أو متطلبات مصادقة متعددة العوامل مكتملة (MFA): ملف تعريف ارتباط الجلسة يتجاوزهم جميعًا.

     

    علاوة على ذلك، يستخدم المجرمون برمجيات خبيثة من الصعب اكتشافها ورخيصة نسبيًا للحصول عليها (متاحة بشكل شائع على الإنترنت مقابل بضع مئات من الدولارات شهريًا) وناجحة بشكل روتيني في سرقة ملفات تعريف الارتباط وغيرها من البيانات الجديدة عالية الجودة. نتيجة لهذه الطريقة منخفضة المخاطر، ارتفعت شعبية البرمجيات الخبيثة المخترق.

    تعد سرقة ملفات تعريف الارتباط من قبل خبراء المعلومات أمرًا شائعًا بالفعل، حيث سرق المجرمون أكثر من 22 مليار جهاز وسجلات ملفات تعريف الارتباط للجلسة العام الماضي، وفقًا لأبحاث SpyCloud . نظرًا لأن المجرمين يشهدون نجاحًا قويًا في استخدام ملفات تعريف الارتباط هذه للوصول إلى الحسابات والمؤسسات، فإن نقطة الدخول هذه ستستمر في التوسع. يعد وجود خطة لتعطيل الجهود الإجرامية بشكل استباقي أمرًا ضروريًا للشركات التي تتطلع إلى حماية أرباحها النهائية.

     

    أحدث البرامج الضارة، حسب التصميم، يصعب اكتشافها. غالبًا ما يكون المختبرون الشائعون غير دائمين، ويقومون بسحب البيانات الحساسة في ثوانٍ ولا يتركون أي دليل على وجود عدوى على جهاز الضحية.

     

    مع هذا النوع من التهديد الخفي، يعد تعليم الموظف أمرًا بالغ الأهمية. يمكن للموظفين الذين يتعرفون على محاولات التصيد الاحتيالي، وتوخي الحذر تجاه مرفقات البريد الإلكتروني ومواقع الويب والتنزيلات التي يُحتمل أن تكون ضارة، وعدم مشاركة كلمات المرور وتقليل استخدام الأجهزة غير المُدارة أو التي لا تتم إدارتها للوصول إلى أنظمة وشبكات الشركة، تقليل التعرض للبرامج الضارة بشكل عام.

     

    بالإضافة إلى ذلك، يؤدي تعطيل خيارات "تذكرني" على صفحات تسجيل الدخول إلى النظام الأساسي وحذف ملفات تعريف الارتباط المخزنة في المتصفح بشكل متكرر إلى تقليل مخاطر اختطاف الجلسة، مما يضمن عدم وصول المجرمين إلى ملفات تعريف الارتباط النشطة للجلسة، حتى في حالة الإصابة بالبرامج الضارة.

     

    إذا كانت البرامج الضارة تؤثر على أجهزة الموظفين - المُدارة أو الشخصية التي لها إمكانية الوصول إلى الأنظمة - فيجب على الشركات استخدام إستراتيجية شاملة لعلاج ما بعد الإصابة (PIR) للتصدي بشكل استباقي لخطر البيانات المسروقة ولكن النشطة المستخدمة لمتابعة الهجمات الإلكترونية. يتضمن نهج PIR سلسلة من الخطوات التي تزيد من بروتوكولات الاستجابة الحالية للحوادث من أجل المعالجة الفعالة للأجهزة والتطبيقات والمستخدمين المتأثرين بالمخترعين. نظرًا لأن البيانات المسحوبة من البرامج الضارة يمكن أن تظل عاملة لعدة أشهر بعد أن يتم اختراقها، فإن مسح الجهاز المصاب ليس سوى الخطوة الأولى للشركات ولكن ليس العلاج الشافي.

     

    باستخدام البيانات المظلمة التي تم استيعابها ورعايتها وتحليلها، يمكن لفرق الأمن الحصول على نظرة شاملة للأجهزة المخترقة والبيانات التي تهدد أعمالهم. من خلال هذه الرؤية، يمكن للفرق إعادة تعيين معلومات التطبيق المكشوفة، وإبطال ملفات تعريف الارتباط للجلسة المفتوحة، وتصحيح نقاط الضعف المتبقية. يخفف هذا النهج الضرر الذي يلحق بالمنظمات من خلال معالجة تهديد البيانات المسروقة قبل أن تتحول إلى حادث أمني شامل.

     

    باستخدام إستراتيجية PIR، يمكن للقادة والمديرين التنفيذيين إنشاء خطة استجابة ناجحة للحوادث الإلكترونية تسمح لفرق الأمن بالحد بشكل استباقي من التهديد الذي تشكله ملفات تعريف الارتباط للجلسة المسروقة وبيانات المصادقة المكشوفة الأخرى. لا تقلل هذه الإستراتيجية من سطح الهجوم على المؤسسة فحسب، بل تحمي الشركة أيضًا من سمعة العلامة التجارية المحتملة والأضرار المالي.

     

    بواسطة: ديمون فلوري - عضو مجلس تكنولوجيا فوربس

    موقع فوربس

  •

  •  
    من نحن
    الحقوق الرقمية في اليمن، أحد مشاريع منظمة سام بدعم منظمة إنترنيوز، ويهدف المشروع للتعريف بالحقوق الرقمية، ورصد الانتهاكات بحق النشطاء والفاعلين والمستخدمين للفضاء الرقمي.
    أتصل بنا
    +9672276293
    +96702276294
    violations@samrl.org
    Yemen, Aden, Sanaʿā ,Mareb, Taiz
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير