أفاد تقرير جديد بأن قراصنة خدعوا آلاف المستخدمين للنقر على رابط ضار من خلال التظاهر بأنهم جهة رسمية أرسلت دعوة لحضور اجتماع ( زوم ) Zoom، مما يؤكد سهولة استغلال مثل هذه الخدمات لخداع المستخدمين.

ويدرك مهددو الأمن الإلكتروني جيدًا أن عددًا كبيرًا من الأشخاص يستفيدون من منصات الإنترنت لاستضافة الاجتماعات والمشاركة فيها، وهم على استعداد لاستغلال هذه المساحات.

وفي الهجوم الذي أبلغت عنه شركة Armorblox، استخدم المتسللون الهندسة الاجتماعية لتقليد دعوة عبر الإلكتروني لبدء اجتماع (زوم)، وخداع 10,000 مستخدم للنقر على رابط ضار.

ووفقًا للشركة، فقد استهدف المتسللون 10,000 صندوق بريد في إحدى شركات الوساطة العقارية الكبرى عبر الإنترنت الموجودة في أمريكا الشمالية. وقد استخدموا الهندسة الاجتماعية، وفي الوقت نفسه؛ تقنيات انتحال الهوية لكسب الثقة، وحثّ المستخدمين على التصرف بسرعة دون التفكير بملية بمصدر الرسالة.

وبدا البريد الإلكتروني نفسه كرسالة (زوم) شرعية قد أُرسلت من نطاق حقيقي، وقد تجاوز منتج أمان البريد الإلكتروني من مايكروسوفت. وكانت الرسالة بعنوان: “اجتماعات (زوم) [الخارجية] الساعة 11:00 صباحًا بالتوقيت الشرقي [للولايات المتحدة وكندا]”. أما نص الرسالة فقد كان: “لقد انضم إليك المشاركون في الاجتماع”. وبالتالي استُعجلت الضحية للنقر على زر “بدء الاجتماع” للانضمام إلى زملائها المنتظرين.

وبالنقر على الرابط، أُعيد توجيه المستخدمين إلى صفحة تسجيل دخول مزيفة في خدمة البريد الإلكتروني من مايكروسوفت (آوتلوك)، الأمر الذي يتطلب منهم إرسال بيانات اعتمادهم. وبهذه الطريقة، يمكن للمهاجمين الحصول على كلمات المرور ورسائل البريد الإلكتروني الخاصة بالحساب.

نصائح للحماية

وأشارت شركة Armorblox في تقريرها: “بصفتك مستخدم (زوم) يومي، فمن المعتاد النقر على زر “بدء الاجتماع”. وحينما نرى رسائل البريد الإلكتروني التي كنا قد رأيناها بالفعل، تميل أدمغتنا إلى استخدام تفكير (النظام 1) واتخاذ إجراءات سريعة”.

وحتى مع الرغبة في التصرف بسرعة، فإن الشركة توصي دائمًا بالتوقف والتراجع إن واجهت طلبًا غير عادي أو – كما في هذه الحالة – اجتماعًا غير مخطط له. وغالبًا ما تحتوي رسائل التصيد الاحتيالي الإلكترونية أخطاء نحوية صغيرة، أو تستخدم رسائل إلكترونية تشبه رسائل المرسل الأصلي، أو تضيف روابط لا تؤدي إلى المكان الذي من المفترض أن تؤدي إليه. وفي كثير من الأحيان، يمكن لشيء يسير مثل تحريك الفأرة فوق الرابط أن يمنعك من الوقوع ضحية لهجوم إلكتروني.

وعلى المستوى التنظيمي، قد يؤدي الاستثمار في التدريب المناسب على الأمن السيبراني للموظفين إلى حماية الشركة من عواقب هجمات التصيد الاحتيالي على نحو أفضل من بعض منتجات الأمان.