ارتفاع هجمات التشهير الموجهة عبر اختراق البريد الإلكتروني
يبدو أن المخربين قد أدركوا أن “تكييف” بعض الحيل التي تستخدمها العصابات القائمة وراء التهديدات المتقدمة المستمرة، يساهم في تحقيق مجموعة متنوعة من أهدافهم، مثل استخدام برمجيات طلب الفدية لشنّ هجمات موجهة على الشركات والمؤسسات. ويقول باحثو كاسبرسكي إن ثمّة تهديدًا موجّهًا آخر لا بدّ من الانتباه إليه، وهو التشهير بالشركات Doxing. ويجري التشهير بالشركات من خلال جمع معلومات سرية حولها وحول موظفيها من دون موافقتها ونشرها على الإنترنت بغرض إلحاق الأذى بها أو الاستفادة منا بطريقة ما. ويؤدي تسريب المعلومات ونشرها وإتاحتها لعامّة الجمهور إلى حالة أصبح فيها خداع الموظفين لدفعهم إلى تقديم معلومات سرية أو حتى إجراء حوالات مالية، أسهل مما كان عليه الأمر في السابق.
وتتمثل إحدى الطرق المستخدمة للتشهير بالشركات والمؤسسات في هجمات اختراق البريد الإلكتروني المؤسسي، وهي هجمات موجّهة يطلق فيها المجرمون مراسلات بريد إلكتروني مع الموظفين عن طريق انتحال شخصية أحد الموظفين العاملين في الشركة. واكتشفت كاسبرسكي 1,646 من هذه الهجمات في فبراير 2021، ما يؤكد ضعف الشركات عندما يتعلق الأمر بمحاولات استغلال المعلومات المتاحة للجمهور. ويكمن الغرض من هذه الهجمات، بصورة عامة، في استخلاص معلومات سرية، مثل قواعد بيانات العملاء، أو سرقة الأموال. ويحلّل باحثو كاسبرسكي بانتظام حالات ينتحل فيها المجرمون شخصية أحد موظفي الشركة المستهدفة باستخدام رسائل بريد إلكتروني تشبه إلى حدّ بعيد الرسائل الحقيقية، وذلك بغرض اختلاس المال.
ويؤدي حرصُ المجرمين على جمع المعلومات العامة المتاحة على وسائل التواصل الاجتماعي وخارجها، مثل أسماء الموظفين ومناصبهم وأماكن وجودهم وأوقات إجازاتهم واتصالاتهم، ومن ثمّ قيامهم بتحليل هذه المعلومات، إلى تمكينهم من التوسّع في شنّ هذه الهجمات.
لكن تظلّ هجمات البريد الإلكتروني المؤسسي مجرد نوع واحد من الهجمات التي تستغل المعلومات المتاحة للجمهور لإلحاق الأذى بشركة ما. وثمّة طرق متنوّعة يمكن للمجرمين اتباعها للتشهير بالشركات تتضمّن أساليب إبداعية تعتمد على التقنية، بجانب الأساليب الواضحة كالتصيّد وتجميع الملفات الشخصية المؤسسية باستخدام تسريب البيانات.
ولعلّ سرقة الهوية إحدى أكثر استراتيجيات التشهير بالشركات شيوعًا. ويعتمد المجرمون، وفق قاعدة عامة، على المعلومات لتوصيف موظفين معينين ثم استغلال هويتهم في شنّ الهجوم. وتسهّل التقنيات الجديدة، كتقنية التزييف العميق، تنفيذ مثل هذه الهجمات، بشرط وجود بيانات عامة للبدء منها. فعلى سبيل المثال، قد يؤدي مقطع فيديو خضع للتعديل بتقنية التزييف العميق لما قد يكون موظفًا في شركة ما، إلى الإضرار بسمعة الشركة. ولا يحتاج المجرمون لإنتاج مثل هذا الفيديو إلا إلى نوع من الصورة المرئية للموظف المستهدف ومعلومات شخصية أساسية عنه. ومن الممكن أيضًا إساءة استخدام الأصوات، إذ يمكن تسجيل صوت مسؤول رفيع المستوى متحدث باسم الشركة يخرج في تصريحات إذاعية أو في بعض المدونات الصوتية، ثم تقليده لاحقًا في مكالمة إلى إدارة الحسابات، مثلًا، تطلب إجراء حوالة مصرفية عاجلة أو مشاركة قاعدة بيانات العملاء.
ويُعتقد عمومًا أن التشهير يمثل مشكلة للمستخدمين العاديين، إذ غالبًا ما يظهر في فضائح على وسائل التواصل الاجتماعي، فإن التشهير المؤسسي يمثّل تهديدًا حقيقيًا للبيانات السرية للشركات ويظلّ أمرًا ينبغي عدم إغفاله، وفقًا لرومان ديدينوك الباحث الأمني لدى كاسبرسكي، الذي أكّد أن التشهير المؤسسي قد يؤدي إلى خسائر في المال والسمعة، قائلًا إن الأذى الواقع على الشركة يزيد بزيادة حساسية المعلومات السرية المستخلصة. وأضاف: “يُعَد التشهير أحد التهديدات التي يمكن منعها أو على الأقلّ التقليل كثيرًا من وطأتها، عبر اتباع إجراءات أمنية قوية داخل الشركة”.
ويمكن معرفة المزيد عن الأساليب التي يستخدمها المجرمون لاستهداف الشركات، والاطلاع على معلومات أوفى عن التشهير المؤسسي والمصير الذي قد تؤول إليه البيانات.
وتوصي كاسبرسكي باتباع التدابير التالية لتجنب مخاطر هجوم ناجح على شركة ما، أو تقليلها:
• وضع قواعد صارمة لمنع مناقشة القضايا المتعلقة بالعمل مُطلقًا في المراسلات الرسمية الخارجية، وتدريب الموظفين على الالتزام الكمال بهذه القواعد.
• رفع وعي الموظفين بقضايا الأمن الرقمي. وتظلّ هذه الطريقة الوحيدة الفعالة للتصدّي لأساليب الهندسة الاجتماعية التي يستخدمها مجرمو الإنترنت بقوة في التخطيط لهجماتهم وشنّها. ويمكن اللجوء إلى منصة تدريب متخصصة عبر الإنترنت مثل Kaspersky Automated Security Awareness Platform.
• توعية الموظفين بشأن التهديدات الرقمية الأساسية، ليتمكن الموظف المتمرّس في الأمن الرقمي من إحباط أي هجوم. فإذا تلقّى الموظف بريدًا إلكترونيًا من زميل يطلب معلومات، فسيعرف أولًا أن عليه الاتصال بزميله للتأكّد من أنه هو من أرسل ذلك البريد الإلكتروني.
• استخدام تقنيات مكافحة البريد الإلكتروني غير المرغوب به، ومكافحة التصيّد. وتتيح كاسبرسكي العديد من هذه الحلول المُضمّنة في المنتجات المؤسسية التالية: Kaspersky Security for Microsoft Exchange Servers وKaspersky Security for Linux Mail Server وKaspersky Secure Mail Gateway، علاوة على الحلّ المستقل Kaspersky Security for Microsoft Office 365.