مكتب التحقيقات الفيدرالي يحذر من زيادة حملات التصيد الصوتي

شهدت السلطات الأمريكية زيادة طفيفة في حملات التصيد الصوتي، بعد أن أجبر وباء فيروس كورونا الشركات على تنفيذ ترتيبات العمل من المنزل.
هذا ما كشفه مكتب التحقيقات الفيدرالي FBI ووكالة الأمن السيبراني وأمن البنية التحتية CISA في الاستشارات المشتركة للأمن السيبراني PDF، والتي تقدم للشركات والمستخدمين النهائيين قائمة من النصائح حول كيفية حماية أنفسهم ضد المخطط.
وجاء في الاستشارة: "أدى فيروس كورونا COVID-19 إلى تحول جماعي إلى العمل من المنزل، مما أدى إلى زيادة استخدام VPN للشركات والقضاء على التحقق شخصيًا، وهو ما يمكن أن يفسر جزئيًا نجاح هذه الحملة، قبل الوباء استهدفت حملات مماثلة مزودي خدمات الاتصالات والإنترنت بشكل حصري بهذه الهجمات، لكن التركيز اتسع مؤخرًا ليشمل المزيد من الاستهداف العشوائي".
تم نشر الاستشارة بعد فترة وجيزة من إعلان Krebs on Security أن مجموعة من مجرمي الإنترنت يقومون بتسويق خدمة التصيد الاحتيالي التي تستخدم مواقع التصيد المخصصة وتقنيات الهندسة الاجتماعية لسرقة بيانات اعتماد VPN من الموظفين.
على الرغم من أن الوكالات لم تؤكد التقرير، إلا أنها قالت إن مجرمي الإنترنت بدأوا حملة تصيد في منتصف يوليو 2020، ووصفوا أيضًا مخططًا مشابهًا لما ذكره كريبس: قام الفاعلون السيئون بتسجيل المجالات باستخدام أسماء الشركات المستهدفة ثم قاموا بتكرار شبكة VPN الداخلية
الخاصة بهم صفحات تسجيل الدخول، استخدم المجرمون أرقام VoIP في البداية لكنهم بدأوا لاحقًا في استخدام أرقام مخادعة من زملاء عمل الضحايا ومكاتب أخرى داخل شركتهم.
وفقًا لكريبس، يميل المتسللون إلى استهداف الموظفين الجدد والتظاهر بأنفسهم كموظفين جدد في مجال تكنولوجيا المعلومات - حتى أنهم ينشئون صفحات وهمية على LinkedIn لكسب ثقة الضحايا، من أجل أن تكون قابلة للتصديق قدر الإمكان، فإنها تجمع ملفات عن موظفي الشركة المستهدفة، تحتوي على المعلومات التي تم جمعها من الملفات الشخصية العامة وأدوات التسويق والتحقق من الخلفية المتاحة للجمهور، وبعد أن نجح مجرمو الإنترنت في إقناع الضحية بأنهم من فريق تكنولوجيا المعلومات التابع لشركتهم، أرسلوا لهم رابط VPN مزيفًا يتطلب تسجيل دخولهم.
ثم يوافق الموظفون غير المرتابين على المطالبات ذات العاملين على هواتفهم أو إدخال أرقام التحقق من OTP، معتقدين أنهم حصلوا عليها لأنهم منحوا موظفي تكنولوجيا المعلومات المزيفين إمكانية الوصول إلى حساباتهم، ومع ذلك في بعض الحالات، لا يحتاجون حتى إلى الضحية للمصادقة ذات العاملين - ليس عندما يكونون قد أجروا بالفعل تبديل بطاقة
SIM على أرقامهم ويمكنهم اعتراض رموز التحقق.
كما أن تبديل بطاقة SIM هو أسلوب آخر للهندسة الاجتماعية يتضمن انتحال شخصية هدف لخداع موظفي شركة النقل لمنحهم التحكم في رقم الضحية.
بمجرد دخولهم إلى شبكة الشركة، يقومون بالتنقيب في المعلومات الشخصية للعملاء والموظفين للاستفادة منها في الهجمات الأخرى، ويجنون هجماتهم بطرق مختلفة، وقالت الوكالات إن الطريقة المستخدمة تعتمد على الشركة، لكنها عادة ما تكون عدوانية للغاية مع جدول زمني ضيق بين الخرق الأولي ونظام السحب المضطرب.
لم يذكر مكتب التحقيقات الفيدرالي و CISA أسماء أي من الضحايا، ولكن من الجدير بالذكر أن قراصنة Bitcoin على Twitter استخدموا أسلوبًا مشابهًا، إذا كنت تتذكر، فقد استولى الخاطفون على عدد من الحسابات رفيعة المستوى، بما في ذلك تلك التي يملكها إيلون موسك وباراك أوباما، في يوليو الماضي، لقد نشروا تغريدات مماثلة عبر الحسابات يطلبون من الناس عملات البيتكوين ووعدوا بإعادتهم ضعف المبلغ في محاولة غريبة للاحتيال على الناس.
أوضحت شركة تويتر لاحقًا أن أحد موظفيها وقع ضحية هجوم هندسة اجتماعية، مما أتاح للمتسللين الوصول إلى نظامه، ومع ذلك، ذكر تقرير Motherboard أن موظفًا ربما تلقى رشوة لمساعدة المتسللين.
لمنع هجمات التصيد، تنصح الوكالات الشركات بتقييد اتصالات VPN للأجهزة المُدارة فقط، لتوظيف مراقبة النطاق وحتى التفكير في استخدام عملية مصادقة رسمية للاتصالات بين الموظفين والموظفين عبر شبكة الهاتف العامة، بالنسبة إلى المستخدمين النهائيين، ننصحهم بأن يكونوا أكثر يقظة في فحص عناوين URL، وأن يكونوا أكثر تشككًا في المكالمات الهاتفية غير المرغوب فيها، وأن يحدوا من كمية المعلومات الشخصية التي ينشرونها على مواقع الشبكات الاجتماعية.