مع الجهود العالمية المبذولة للتعافي والتعلم من حادثة إضراب الجماهير يوم الجمعة 19 يوليو يستمر مجرمو الإنترنت والمحتالون في التربص على هامش الخطاب، حيث يلتقطون الضحايا غير المطمئنين، بدعم من المجالات الخبيثة التي تم إنشاؤها حديثًا والمرتبطة بـ كراود سترايك العلامة التجارية.
هذا وفقا ل متخصص في أمن الويب أكامايوقالت شركة جوجل إن باحثيها حددوا أكثر من 180 من هذه النطاقات – ومن المرجح أن يكون العدد الحقيقي أعلى – بما في ذلك نطاق تم تصنيفه ضمن أفضل 200 ألف موقع للكلمات الرئيسية المرتبطة.
أهم القطاعات المستهدفة من قبل هذه المواقع يبدو أنها مؤسسات خيرية ومنظمات غير ربحيةومقدمي الخدمات التعليمية، وكلاهما مستهدفان بشدة من قبل الجهات الخبيثة عادةً لأنهما أقل احتمالاً نسبيًا لتنفيذ التدريب المناسب على الأمن السيبراني أو التدابير الدفاعية أو أنهما أقل قدرة على تحمل تكاليفه في كثير من الحالات.
وفي مقالة على موقع الشركة على الإنترنت، قالت تريشيا هوارد من شركة أكاماي إنه كما هو الحال غالبًا مع الأحداث الجديرة بالاهتمام، فإن الجهات الفاعلة المهددة حاول على الفور استغلال الوضع، ومدى وتأثير حادثة CrowdStrike، التي تسببت في تحول ملايين الأجهزة التي تعمل بنظام Windows إلى اللون الأزرق، ودفعت المستخدمين المرتبكين – وكثير منهم ليس لديهم خلفية في تكنولوجيا المعلومات أو الأمن – إلى البحث عن إجابات أينما يمكنهم العثور عليها، مما يعرضهم لخطر كبير من الهندسة الاجتماعية.
قامت فرق Akamai بتحليل كميات كبيرة من البيانات المأخوذة من شبكتها العالمية لتحديد أفضل المجالات الضارة المستخدمة في عمليات الاحتيال المتعلقة بحوادث CrowdStrike وغيرها من الاستغلالات – بما في ذلك توزيع البرامج الضارة التي تمسح البيانات وتسرق المعلومات، وأحصنة طروادة للوصول عن بعد (RATs).
استفادت جميع المجالات الأكثر استخدامًا من علامة CrowdStrike التجارية إلى حد ما، وزعم العديد منها أنها تقدم معلومات أو حلولاً للحادث. وشملت هذه المجالات مثل crowdstrike-bsod.com وcrowdstrikefix.com وcrowdstrike-helpdesk.com وmicrosoftcrowdstrike.com وcrowdstrikeupdate.com.
حتى أن أحد المجالات التي تمت ملاحظتها بدا وكأنه يستغل ما هو عائلة مواقع الويب المملوكة والمدارة من قبل شركة TechTarget، الشركة الأم لـ Computer Weekly، باستخدام whatiscrowdstrike.com.
وفقًا لهوارد، تحمل أغلب المجالات التي اكتشفتها أكاماي نطاق المستوى الأعلى .com، مما يمنحها سلطة خفية، وتنشر كلمات رئيسية شائعة مثل helpdesk أو update والتي من المرجح أن يستخدمها الأشخاص الذين يبحثون عن المعلومات بشكل متكرر. وبهذه الطريقة، يتمكن داعموها من التظاهر بالشرعية من خلال التظاهر بتقديم الدعم الفني أو القانوني على سبيل المثال.
“إذا كنت متأثرًا بانقطاع الخدمة وتبحث عن معلومات، فنوصيك باستشارة مصادر موثوقة مثل CrowdStrike أو Microsoft. ورغم أن المنافذ الأخرى قد تبدو وكأنها تمتلك معلومات أكثر حداثة، فقد لا تكون دقيقة – أو الأسوأ من ذلك، قد يكون للموقع غرض خبيث”، كما كتب هوارد.
“من المرجح أن نشهد المزيد من محاولات التصيد المرتبطة بهذه المشكلة بعد الوقت الذي يتم فيه إصلاح كل جهاز. يمكن للتمرير البسيط عبر وسائل التواصل الاجتماعي أن يمنح المهاجم إحساسًا بالعلامات التجارية التي تولد أكبر قدر من المشاعر المتصاعدة والتي تكون جاهزة للانتحال لتحقيق مكاسب خبيثة.
“هذه هي وظيفة المهاجم، ومن المهم أن نتذكر ذلك. تعمل عمليات الحملات الخبيثة تمامًا كما نفعل في الشركات الشرعية: الضحايا هم “عملاؤهم”، والتكتيكات المتنوعة المقدمة في هذا المنشور تظهر مدى “تواصلهم” مع عملائهم. إنهم يعرفون كيفية تنويع محافظهم الاستثمارية بشكل فعال لضمان حصولهم على أموال في البنك”، كما قالت.
بنية تحتية مرنة ومقنعة
لتعزيز هذه النقطة، ولإظهار مدى صعوبة قيام الأفراد بانتقاء المواقع المشبوهة وسط ضجيج البحث القياسي على الويب، أوضح هوارد أن حملات التصيد الاحتيالي هذه غالباً ما تظهر بنية تحتية مرنة بشكل ملحوظ، يديرها “محترفون” يتمتعون بمهارات تنافس في بعض الحالات تلك الموجودة في المؤسسات.
تتضمن العديد من مواقع الاحتيال أيضًا إجراءات قياسية إلى حد ما اعتاد الناس على رؤيتها في المجالات الآمنة، مثل التحقق من صحة SSL. وقد يقوم آخرون في مرحلة ما بإعادة التوجيه إلى موقع CrowdStrike الفعلي.
ستحتوي الحملات الأكثر تطوراً على آليات فشل وتعتيم مدمجة، ويمكن لمؤيديها تغيير مظهرها بسرعة.
بالإضافة إلى ذلك، يعتقد فريق أكاماي أن أحد النطاقات التي تم رصدها والتي تستغل CrowdStrike يبدو أنه جزء من شبكة تصيد كبيرة. وقد برز هذا الموقع، الذي تم تتبعه باسم crowdstrikeclaim.com، للباحثين لاستغلاله ليس فقط لـ CrowdStrike، ولكن أيضًا لشركة محاماة حقيقية في نيويورك كانت متورطة في دعاوى قضائية جماعية حقيقية.
احتوى المجال على معرف فيسبوك مضمن معروف بأنه ضار، والذي كان مرتبطًا في وقت ما بموقع covid19-business-help.qualified-case.com، وهو موقع ضار يستغل برامج المساعدات الحكومية الأمريكية أثناء الوباء. يحتوي هذا الموقع بدوره على معرف فيسبوك مضمن آخر يرتبط بما يصل إلى 40 موقعًا ضارًا آخر.
التخفيف من حدة التصيد الاحتيالي
بالنسبة للأفراد العاديين الذين قد يجدون أنفسهم على صفحة مرتبطة بـ CrowdStrike، فإن نصيحة Akamai هي التحقق من عدد من مؤشرات سوء النية. يمكن أن يشمل هذا البحث عن جهة إصدار الشهادة والنطاق عند الوصول عبر HTTPS؛ وتجنب أي نطاقات تطلب معلومات حساسة، مثل تفاصيل بطاقة الائتمان؛ وتجاهل وحذف أي رسائل بريد إلكتروني تدعي تقديم المساعدة. ومع ذلك، يظل الحل الأكثر فعالية هو: اتبع النصائح وخطوات العلاج فقط من CrowdStrike نفسها.
يمكن لمحترفي الأمن ومسؤولي تكنولوجيا المعلومات أيضًا اتخاذ خطوات إضافية، بما في ذلك حظر مؤشرات الاختراق المعروفة والمرتبطة بها (IoCs) – قائمة أكاماي متاحة الآن على GitHub – وإجراء تحليل فجوة الحركة الجانبية، أو محاكاة الخصم.
وأشارت هوارد إلى أن مجرمي الإنترنت ذوي الدوافع المالية سوف يبحثون عن أي فرصة لإسقاط برامج الفدية، وعلى الرغم من أن حادثة CrowdStrike ليست مرتبطة بثغرة أمنية يوم الصفر، إلا أنها أشارت إلى أنه لا تزال هناك طرق محتملة للمهاجم الذي يعرف الآن ما هي التكنولوجيا، أي CrowdStrike، التي يستخدمها ضحيته المحتملة في حزمته السيبرانية.
“وقد يصبح هذا الأمر ذا أهمية في حالة اكتشاف ثغرة خطيرة مستقبلية داخل منتج Falcon. فالمهاجمون يزدادون تعقيدًا، وكل قطعة إضافية من أحجية مجموعة التقنيات التي يمتلكونها تجعل حل هذه الأحجية أسهل”، كما حذرت.
