لقد تحول المهاجمون الذين يستهدفون مستخدمي Microsoft 365 برسائل البريد الإلكتروني للتصيد الاحتيالي phishing emails إلى تكتيك قديم بطريقة كبيرة في الأسابيع الأخيرة - والتقنية متستر لدرجة أنه من "السهل" على المستخدمين الوقوع فريسة، وفقًا لبائع أمان البريد الإلكتروني Vade.
التقنية- المعروفة باسم هجوم التجاوز من اليمين إلى اليسار (RLO) right-to-left override- تعود إلى عقدين من الزمن. الغرض منه هو خداع مستخدمي Microsoft 365 للنقر على مرفق ملف عن طريق إخفاء امتداد الملف.
قال Antoine Morel، مهندس ما قبل المبيعات للأمن السيبراني في Vade: في رسالة بريد إلكتروني: "إذا لم ينتبه المستخدم إلى الامتداد وفكر في سياق البريد الإلكتروني لتحديد ما إذا كانت شرعية، فمن السهل الوقوع في الفخ".
يستمر التصيد الاحتيالي Phishing في كونه شكلًا شائعًا، وغالبًا ما يكون كارثيًا، من أشكال الهجمات الإلكترونية. تظهر النتائج من Proofpoint أنه في حالة حدوث هجوم تصيد احتيالي ناجح، ينتهي المطاف بـ 60% من المؤسسات بفقدان البيانات، بينما تعاني 52% من اختراق بيانات الاعتماد أو الحسابات. وفي الوقت نفسه، فإن ما يقرب من نصف المؤسسات - 47% - ينتهي بهم الأمر بإصابة برامج الفدية نتيجة هجوم تصيد احتيالي ناجح، حسبما أفاد موقع Proofpoint.
بشكل عام، 24% من هجمات برامج الفدية تنشأ من بريد إلكتروني للتصيد الاحتيالي، وفقًا لتقرير صادر عن Cloudian.
التقنية- المعروفة باسم هجوم التجاوز من اليمين إلى اليسار (RLO) right-to-left override- تعود إلى عقدين من الزمن. الغرض منه هو خداع مستخدمي Microsoft 365 للنقر على مرفق ملف عن طريق إخفاء امتداد الملف.
قال Antoine Morel، مهندس ما قبل المبيعات للأمن السيبراني في Vade: في رسالة بريد إلكتروني: "إذا لم ينتبه المستخدم إلى الامتداد وفكر في سياق البريد الإلكتروني لتحديد ما إذا كانت شرعية، فمن السهل الوقوع في الفخ".
يستمر التصيد الاحتيالي Phishing في كونه شكلًا شائعًا، وغالبًا ما يكون كارثيًا، من أشكال الهجمات الإلكترونية. تظهر النتائج من Proofpoint أنه في حالة حدوث هجوم تصيد احتيالي ناجح، ينتهي المطاف بـ 60% من المؤسسات بفقدان البيانات، بينما تعاني 52% من اختراق بيانات الاعتماد أو الحسابات. وفي الوقت نفسه، فإن ما يقرب من نصف المؤسسات - 47% - ينتهي بهم الأمر بإصابة برامج الفدية نتيجة هجوم تصيد احتيالي ناجح، حسبما أفاد موقع Proofpoint.
بشكل عام، 24% من هجمات برامج الفدية تنشأ من بريد إلكتروني للتصيد الاحتيالي، وفقًا لتقرير صادر عن Cloudian.
تكتيك متجدد A revived tactic
عندما يتعلق الأمر بتقنية هجوم RLO، فإن انتحال امتداد الملف ممكن بسبب حرف Unicode خاص، التجاوز من اليمين إلى اليسار. عند استخدامه، يعكس الحرف النص التالي لعرضه من اليمين إلى اليسار - عكس اللغة الإنجليزية.
في الماضي، تم استخدام التكتيك لإخفاء امتداد "exe." في ملف - بحيث يقوم المستخدم الذي اعتقد أنه يفتح ملفًا بتنسيق txt، على سبيل المثال، بفتح ملف ضار قابل للتنفيذ، كما تقول Vade.
قال بائع أمن البريد الإلكتروني إن الموجة الأخيرة من هجمات RLO تطورت لمحاولة خداع المستخدمين بنوع أكثر حداثة من امتداد الملف - .mp3 - والذي يتم تقديمه على أنه بريد صوتي.
في إحدى عمليات التكرار للهجوم، يؤدي النقر فوق مرفق الملف إلى توجيه المستخدم إلى صفحة ويب تطلب منه إدخال بيانات اعتماده من أجل الوصول إلى البريد الصوتي، كما تقول Vade.
ومع ذلك، فإن "كل هجوم انتحال RLO فريد من نوعه، ويستخدم المهاجمون رؤوسًا ومرسلين وموضوعات ومرفقات مختلفة لتمرير الحماية الأمنية الأساسية"، كما قالت الشركة في منشور مدونة.
في حين أن المستخدمين الذين لا ينتبهون يمكن أن يقعوا في هذا بسهولة، كما قال Morel: "من السهل أيضًا اكتشاف الحيلة، مثل فتح ملف mp3 يؤدي إلى صفحة ويب تسجيل الدخول إلى Microsoft"، "هذا النوع من الانتحال خطير بشكل خاص ومن المرجح أن ينجح على الأرجح للأشخاص الذين ليسوا على دراية بعملية التنكر هذه وليسوا حريصين على تحليل رسائل البريد الإلكتروني بشكل عام".
موجة هجمات كبيرة Significant wave of attacks
تقول Vade إنها لاحظت أكثر من 400 حملة انتحال مختلفة لـ RLO خلال الأسبوعين الماضيين. تتكون كل حملة من مجموعة من رسائل البريد الإلكتروني التي تشترك في خصائص فريدة مع بعضها البعض، ويمكن أن تتضمن حملة واحدة مئات أو آلاف رسائل البريد الإلكتروني للمستخدمين.
وبالتالي، فإن 400 حملة مختلفة خلال فترة أسبوعين "يعد عددًا كبيرًا عندما تعلم أن حملة واحدة يمكن أن تؤثر على الكثير من المستخدمين، في شركة واحدة أو عدة شركات"، كما قال Morel.
وقال إن معظم موردي خدمات الأمان لا يكتشفون أن مرفقات RLO ضارة، لذلك ستحتاج الشركات إلى الاعتماد على وعي الموظفين بالخدعة، وممارسة التدريب على التصيد بشكل مثالي، لتقليل مخاطر هذه الهجمات.
قال Morel إن شركة Vade تتعقب تكتيك RLO منذ 2018، لكن النشاط الخبيث الذي يستخدمه انتشر في عامي 2020 و 2021 مع التحول إلى العمل عن بعد. وقال: "القراصنة على الأرجح يستفيدون من الوباء وسياق العمل عن بعد، عندما يكون المستخدمون أقل يقظة وحمايتهم من خلال أدوات أمان الشركة".
وقالت Vade في مدونتها، في نهاية المطاف، إن تقنية RLO "هي تقنية قديمة، ولكن طالما لم يكن الناس على دراية بالتهديد، فسيواصل المهاجمون استخدامه وإعادة اختراعه".
متحدث باسم Microsoft "إننا نشجع العملاء على ممارسة عادات الحوسبة الجيدة عبر الإنترنت، بما في ذلك توخي الحذر عند النقر على روابط لصفحات الويب، أو فتح ملفات غير معروفة، أو قبول نقل الملفات". وقالت مايكروسوفت لمزيد من المعلومات، يمكن للمستخدمين زيارة هذا الموقع.
