النقاط الرئيسية
• حددت كرول ارتفاعًا في هجمات التصيد الاحتيالي التي تستهدف الضحايا باستخدام رمز الاستجابة السريعة للوصول إلى بيانات اعتماد الشبكة الخاصة بهم.
• ‏يصعب التخفيف من هذا التكتيك بشكل خاص بسبب طبيعة رمز الاستجابة السريعة نفسه وحماية الأجهزة المحمولة.
• ‏يعد التأكد من قيام الشركات بتحديث التدريب الفعال على الأمن السيبراني لموظفيها، والاعتماد على التمويل المتعدد (MFA) المقاوم للتصيد الاحتيالي، والمبادئ التوجيهية الصارمة، من التوصيات الرئيسية للدفاع ضد هذا التهديد.

حدد محللو استخبارات التهديدات في شركة الأمن السيبراني كرول Kroll أسلوبًا جديدًا للتصيد الاحتيالي يستهدف الأفراد باستخدام رموز الاستجابة السريعة، حيث يتلقى الضحايا رسائل بريد إلكتروني تصيدية تنتحل شخصية مايكروسوفت Microsoft، لإعلامهم بأن هناك حاجة إلى تدابير أمنية إضافية ويطلب من الضحايا مسح رمز الاستجابة السريعة الموجود في نص أو مرفق البريد الإلكتروني.

كيف تعمل هجمات التصيد الاحتيالي لرمز الاستجابة السريعة

بمجرد فحصه، يتم توجيه المستخدم إلى صفحة تسجيل دخول مزيفة إلى Microsoft حيث يُطلب منه إدخال بيانات الاعتماد وكلمة المرور الخاصة به. بمجرد قيام المستخدم بإدخال التفاصيل الخاصة به على الموقع الضار، يمكن للمهاجم الوصول إلى حساباته والرمز المميز للجلسة. يسمح اختطاف رمز الجلسة - حيث يسرق المتسلل رمز الجلسة للوصول إلى المعلومات أو الخدمات أو الحسابات - للمهاجم بالمرور كمستخدم شرعي داخل الشبكة أو البيئة السحابية.

نظرًا لأن العديد من المستخدمين سيكون لديهم بالفعل مصادقة متعددة العوامل (MFA)، فقد احتاجت الجهات الفاعلة في مجال التهديد إلى تصميم تقنيات محدثة لإقناع المستخدم بتقديم اسم المستخدم وكلمة المرور وMFA الخاصة به من خلال "مجموعة التصيد" الخاصة بهم مما يسمح دون علم بالاعتراض. يُعرف هذا التكتيك عمومًا باسم الخصم في المنتصف (AitM)، حيث يضع المهاجم نفسه ضمن عملية المصادقة للتحقق من أن المستخدم الضار هو المستخدم الشرعي.

الدافع
معظم هجمات اختراق البريد الإلكتروني التجاري (BEC)، مثل هذه، تكون ذات دوافع مالية. وهذا يعني أنه بمجرد حصولهم على إمكانية الوصول، فإن المهاجم لا يسعى عادةً إلى سرقة البيانات بغرض الابتزاز، مثلما يفعل ممثلو تهديد برامج الفدية، بل يبحثون عن فرص لانتحال شخصية الضحية لتسهيل عمليات الاحتيال الإلكتروني أو إيداع الرواتب أو إعادة توجيه دفع الفواتير. من المرجح أن "يبقى" ممثل التهديد في حساب البريد الإلكتروني ويقوم بإعادة الاستطلاع لبضعة أيام، وأحيانًا أسابيع، منتظرًا وقته للحصول على فرصة للانتقال إلى سلسلة البريد الإلكتروني والسيطرة على المحادثة من أجل إعادة توجيه الأموال.

في بعض الحالات، قد يدرك المهاجم أن الحساب الذي تسلل إليه لا يقوم بالعمليات اللازمة للاحتيال الإلكتروني أو لا يملك الأذونات اللازمة للمهاجم لإنجاز وسائله. ومن المحتمل بعد ذلك أنهم سيرسلون إغراء تصيدًا آخر من حساب البريد الإلكتروني المخترق إلى الضحية التي يحتاجون إليها.

لماذا يمثل التصيد الاحتيالي لرمز الاستجابة السريعة تحديًا؟

الأجهزة المحمولة هي حلقة ضعيفة. في هذا الهجوم، يجب على المستخدم استخدام جهازه المحمول للوصول إلى الرابط، وعادةً لا تمتلك الشركات - وخاصة الصغيرة منها - أداة لإدارة الأجهزة المحمولة (MDM) منتشرة على هواتف عمل موظفيها. وهذا يعني أنه عندما يتعامل الموظف مع رمز الاستجابة السريعة باستخدام جهازه المحمول، والذي يقع خارج ضوابط شبكة الشركة، فهو أيضًا خارج المراقبة الأمنية للشركة. يوفر هذا الهجوم طريقة للمهاجم للوصول إلى البيئة الآمنة، مثل البريد الإلكتروني، باستخدام ما يعتبر في الأساس مدخلًا جانبيًا غير خاضع للحراسة.

طبيعة رمز الاستجابة السريعة
يعرف الأشخاص ضرورة البحث عن أسماء النطاقات الغريبة أو عناوين URL الطويلة وعدم النقر على هذه الروابط. ومع ذلك، للوهلة الأولى، لا يستطيع المستخدم معرفة ما إذا كان رمز الاستجابة السريعة ضارًا لأنه لا يمكنه التعرف على الرابط الموجود خلف الرمز بشكل مرئي أو عن طريق التمرير فوقه كما هو الحال مع الرابط التقليدي المضمن في البريد الإلكتروني. بمعنى آخر، لا توجد علامات مرئية على الفور في رمز الاستجابة السريعة نفسه والتي قد تشير إلى المستخدم بأن الرابط ضار.

كيفية اكتشاف أو منع التصيد الاحتيالي لرمز الاستجابة السريعة

المصادقة متعددة العوامل (MFA) المقاومة للتصيد الاحتيالي. بالطبع، MFA هو خط الهجوم الأول الموصى به لأنه يحل بعض طرق الهجوم الشائعة مثل تخمين كلمة المرور. ومع ذلك، فهو لا يحل جميع أشكال سرقة بيانات الاعتماد كما هو موضح في المثال أعلاه. تم تصميم MFA المقاوم للتصيد الاحتيالي - مثل البطاقة الذكية أو مفتاح الأمان الفعلي - لمنع سيناريوهات هجوم تجاوز MFA حيث يجب أن يكون المستخدم المخول هو الشخص الوحيد الذي لديه المفتاح الفعلي لتسجيل الدخول إلى شبكته.

التدريب على الأمن السيبراني أمر حيوي
على الرغم من أن هذا التكتيك جديد، إلا أنه لا تزال هناك علامات كلاسيكية تثبت أن هذه محاولة تصيد على الرغم من رمز الاستجابة السريعة المشتت للانتباه. في جميع الأمثلة، هناك شعور بالحاجة الملحة للضحية لإجراء الفحص خلال الساعات أو الأيام القليلة القادمة. الموعد النهائي الصارم ليس أمرًا يمكن أن تفرضه شركة مشروعة أو فريق تكنولوجيا معلومات. علاوة على ذلك، ستنتهي صلاحية رسائل البريد الإلكتروني التي تشير إلى رمز الاستجابة السريعة قريبًا، كما أن تضمين الشعور بالحاجة الملحة إلى "المسح الآن" يعد بمثابة علامة تحذير إضافية.

المبادئ التوجيهية لتعزيز الهوية
يمكن للشركات استخدام سياسات التحكم في الوصول المشروط الإبداعي (CAC) لتقليل سطح الهجوم الخاص بها. على سبيل المثال، إذا كانت سياسة جهاز الشركة تتضمن فقط Windows لسطح المكتب والأجهزة المحمولة التي تعمل بنظام التشغيل iOS، فاحظر أجهزة Android وMacBooks من المصادقة. بالإضافة إلى ذلك، يمكن للمؤسسات تعطيل أو تقييد نطاق أساليب MFA المسموح بها - مثل الرسائل القصيرة والموافقة الصوتية أو أنواع تطبيقات MFA غير المستخدمة - وتقييد عدد أجهزة MFA المسموح بها لكل مستخدم وتتطلب عوامل مصادقة إضافية عند ترخيص أجهزة MFA.

حماية الرمز المميز
توفر Microsoft أيضًا حماية للرمز المميز، والتي تحاول تقليل الهجمات باستخدام سرقة الرمز المميز، مثل تلك المذكورة أعلاه، من خلال ضمان إمكانية استخدام الرمز المميز فقط من الجهاز المقصود. يمكن للشركات أيضًا تقليل مدة الرموز المميزة بحيث تنتهي صلاحيتها قبل الإعداد الافتراضي البالغ 90 يومًا. لن يمنع هذا بالضرورة هجوم AitM، ولكنه يمثل طبقة دفاع إضافية جديرة بالاهتمام.