تفكيك التصيد كخدمة: دليل CISO للتهديدات المتطورة

يتسم مشهد الأمن السيبراني بحالة من التغير المستمر، حيث يقوم الفاعلون في مجال التهديد بتحسين منهجياتهم باستمرار. يتضمن النمط المتكرر تفكيك مجموعات التصيد كخدمة (PaaS) من قبل وكالات إنفاذ القانون، وهو تطور، على الرغم من إيجابيته، غالبًا ما يخفي التحديات المستمرة التي يواجهها المدافعون. تسلط عمليات التفكيك هذه الضوء على التهديد المستمر للتصيد الاحتيالي، وهي تقنية لا تزال تمثل شاغلًا رئيسيًا للمؤسسات من جميع الأحجام.

ماذا حدث

استهدفت الإجراءات الأخيرة التي اتخذتها وكالات إنفاذ القانون وشركات الأمن السيبراني البنية التحتية التي تدعم عمليات التصيد الاحتيالي المعقدة. ويشمل ذلك جهودًا من قبل كيانات مختلفة لتعطيل البنية التحتية للجرائم الإلكترونية. تهدف هذه الاضطرابات إلى تفكيك الأنظمة الأساسية التي تمكن الفاعلين في مجال التهديد من شن هجمات واسعة النطاق.

غالبًا ما تتضمن هذه العمليات تفكيك عناصر متعددة للجرائم الإلكترونية تعتمد على بنية تحتية مشتركة. الهدف هو توسيع نطاق التعطيل من خلال استهداف الخدمات الأساسية التي يستخدمها المجرمون. وتعتبر هذه الجهود حاسمة في مكافحة التجارة غير المشروعة التي تسهلها هذه المؤسسات الإجرامية السيبرانية.

لماذا يتكرر هذا النمط باستمرار

على الرغم من نجاحات إنفاذ القانون، فإن نمط ظهور مجموعات التصيد كخدمة (PaaS)، وتفكيكها، ثم ظهور مجموعات جديدة، يستمر بسبب طبيعة الجرائم الإلكترونية الشبيهة بالأعمال التجارية. ينظر الفاعلون في مجال التهديد إلى عملياتهم كأعمال تجارية، ويتكيفون ويبتكرون باستمرار. إن النطاق العالمي لهذه العمليات يجعل الاستئصال الشامل صعبًا.

يظل التصيد فعالاً لأنه يستغل نقاط ضعف الإنسان، غالبًا بغض النظر عن حجم المؤسسة أو ميزانية الأمن السيبراني. مجرمو الإنترنت انتهازيون، يبحثون عن أي نقطة ضعف عبر الإنترنت. سهولة الوصول إلى الأدوات المتطورة من خلال نماذج PaaS تخفض حاجز الدخول إلى الجرائم الإلكترونية، مما يديم الدورة.

دليل المهاجم خطوة بخطوة

يتبع المهاجمون الذين يستفيدون من مجموعات PaaS عادةً دليلًا محددًا جيدًا. أولاً، يحصلون على أو يطورون مجموعة تصيد، والتي توفر قوالب وبنية تحتية لشن الحملات. غالبًا ما تحاكي هذه المجموعات خدمات مشروعة، كما أشار خبراء الأمن.

بعد ذلك، يوزعون رسائل بريد إلكتروني للتصيد أو رسائل نصية قصيرة (smishing) مصممة لإغراء الضحايا. غالبًا ما تحتوي هذه الرسائل على روابط ضارة. عند النقر، يتم توجيه الضحايا إلى صفحات حصاد بيانات الاعتماد، والتي تبدو أصلية ولكنها تخضع لسيطرة المهاجمين.

أخيرًا، تُستخدم بيانات الاعتماد التي تم حصادها للوصول غير المصرح به، أو سرقة البيانات، أو شن هجمات أخرى. قد تستخدم بعض المجموعات المتقدمة تقنيات لإخفاء عملياتها، مثل عرض صفحات خطأ لباحثي الأمن الشرعيين بينما تقدم محتوى ضارًا للضحايا.

ما فات المدافعين

أحد الجوانب الحاسمة التي غالبًا ما يغفلها المدافعون هو دقة 'عملية التفكيك'. لا يعني التفكيك المبلغ عنه دائمًا أن موقع التصيد غير متصل بالإنترنت حقًا. قد يبلغ البائعون عن إزالة موقع، لكنه قد يظل يقدم صفحات حصاد بيانات الاعتماد من خلال شبكات أو أجهزة مختلفة.

تشمل أسباب بقاء الموقع 'حيًا' بعد التفكيك الاعتماد على المحتوى المخزن مؤقتًا، أو إعادة التوجيه إلى بنية تحتية جديدة، أو جهود المعالجة غير المكتملة. واجهت فرق الأمن مواقف حيث لا يزال الموقع الذي تم وضع علامة عليه على أنه تم حله يتم تحميله بشكل طبيعي، مما يؤدي إلى شعور زائف بالأمان. يمكن أن تترك هذه الفجوة بين الإبلاغ والواقع المؤسسات عرضة للخطر لأسابيع.

إن الفعالية الحقيقية لعملية التفكيك لا تكمن في التقرير الأولي، بل في العجز المستمر للبنية التحتية الخبيثة عن أداء غرضها.

قائمة مراجعة دفاعية عملية

لمواجهة تهديد مجموعات PaaS والتصيد الاحتيالي المتطور بفعالية، يجب على مسؤولي أمن المعلومات ومهندسي الأمن تنفيذ استراتيجية دفاع متعددة الطبقات:

• التحقق من جميع عمليات التفكيك: لا تعتمد فقط على تقارير البائعين؛ تحقق بشكل مستقل من أن مواقع التصيد التي تستهدف مؤسستك غير متصلة بالإنترنت حقًا من شبكات وأجهزة مختلفة.
• تطبيق تصفية قوية للبريد الإلكتروني والويب: نشر حلول متقدمة يمكنها اكتشاف وحظر محاولات التصيد الاحتيالي المتطورة، بما في ذلك تلك التي تستخدم تقنيات التهرب.
• إجراء تدريب مستمر على الوعي الأمني: تثقيف الموظفين بانتظام حول تحديد محاولات التصيد، وتكتيكات الهندسة الاجتماعية، وأهمية الإبلاغ عن الأنشطة المشبوهة.
• نشر المصادقة متعددة العوامل (MFA): فرض المصادقة متعددة العوامل عبر جميع الأنظمة والحسابات الهامة، خاصة لخدمات السحابة، للتخفيف من تأثير بيانات الاعتماد المخترقة.
• مراقبة انتحال العلامة التجارية: مسح الإنترنت بشكل استباقي بحثًا عن الاستخدام غير المصرح به لعلامتك التجارية في حملات التصيد والمبادرة بطلبات التفكيك السريعة.
• الاستفادة من معلومات التهديد: دمج خلاصات معلومات التهديد للبقاء على اطلاع دائم بمجموعات التصيد الناشئة، ومنهجيات المهاجمين، ومؤشرات الاختراق.
• تدقيق الأنظمة وتصحيحها بانتظام: التأكد من تصحيح جميع الأنظمة والتطبيقات وأجهزة الشبكة وتكوينها بشكل آمن بانتظام لتقليل فرص الاستغلال.

كيف كان من الممكن أن يكتشف الاختبار الهجومي الحديث هذا

غالبًا ما تتفاعل الإجراءات الدفاعية التقليدية، على الرغم من ضرورتها، مع التهديدات المعروفة. الاختبار الهجومي المستقل الحديث، خاصة مع إثباتات المفهوم القابلة للتنفيذ (PoCs)، يغير النموذج. منصتنا، بفضل معلومات التهديد المتقدمة وقدرات الاختبار الهجومي المستقل، تحاكي هجمات التصيد الحقيقية، بما في ذلك تلك التي تستفيد من مجموعات PaaS الشائعة. يحدد هذا النهج الاستباقي نقاط الضعف قبل أن يتمكن المهاجمون من استغلالها.

من خلال تنفيذ إثباتات المفهوم، يمكن للمنصة اكتشاف نقاط الضعف الدقيقة في مرشحات البريد الإلكتروني، وقابلية الموظفين للتأثر، وفعالية إجراءات الاستجابة للحوادث ضد حملات التصيد المعقدة. وهذا يسمح للمؤسسات بتحديد ومعالجة الفجوات في دفاعاتها التي يمكن أن تستغلها مجموعة PaaS حية، قبل وقت طويل من وقوع هجوم حقيقي. يوفر رؤى ملموسة وعملية حول المرونة الحقيقية للمؤسسة ضد هذه التهديدات المنتشرة.

ما الذي يجب مراقبته بعد ذلك

سيستمر النظام البيئي للجرائم الإلكترونية في التطور، مع اعتماد الفاعلين في مجال التهديد لتقنيات وتكتيكات جديدة. توقع رؤية المزيد من التطور في مجموعات PaaS، وربما دمج تقنيات تهرب أكثر تقدمًا وتوليد محتوى مدعوم بالذكاء الاصطناعي للتصيد الشخصي للغاية. يجب أن يتحول تركيز المدافعين من مجرد الرد على الحوادث إلى الفهم الاستباقي وتحييد مسارات الهجوم المحتملة. سيظل التعاون المستمر بين وكالات إنفاذ القانون، وباحثي الأمن السيبراني، والصناعة الخاصة أمرًا بالغ الأهمية في تعطيل هذه المؤسسات الإجرامية من جذورها، بينما يجب على المؤسسات تعزيز دفاعاتها الداخلية باختبارات ومعلومات متقدمة. ستستمر لعبة القط والفأر، مما يتطلب يقظة وتكيفًا مستمرين من مسؤولي أمن المعلومات ومهندسي الأمن.