يستهدف مجرمو الإنترنت العاملين عن بُعد ، وينشئون نسخًا ضارة من صفحات تسجيل الدخول إلى VPN الداخلية للشركات
أصدر مكتب التحقيقات الفيدرالي في الولايات المتحدة (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) نصيحة مشتركة للتحذير من زيادة في هجمات التصيد الصوتي (التصيد الصوتي) التي تستهدف الموظفين في عدد من الشركات.
يمكن أن يُعزى الارتفاع المفاجئ في هجمات التصيد عبر الهاتف جزئيًا إلى وباء COVID-19 ، الذي أجبر الشركات على التحول إلى العمل عن بُعد وأدى إلى طفرة في استخدام الشبكات الخاصة الافتراضية (VPN) والقضاء على التعامل الشخصي التحقق.
وفقًا للاستشارة ، التي شاركها الصحفي الأمني بريان كريبس ، تمكن مجرمو الإنترنت منذ منتصف شهر يوليو تقريبًا من سرقة تفاصيل تسجيل الدخول إلى أدوات الموظفين في عدد من الشركات. وأشار التنبيه إلى أن “الجهات الفاعلة استخدمت بعد ذلك وصول الموظف لإجراء مزيد من الأبحاث حول الضحايا ، و / أو للحصول على الأموال عن طريق الاحتيال باستخدام طرق مختلفة تعتمد على المنصة التي يتم الوصول إليها”.
كجزء من الحملات ، أنشأت القبعات السوداء مواقع تصيد احتيالية تنسخ أو تشبه صفحات تسجيل الدخول إلى VPN الداخلية لشركات مختلفة ، وحصلت على شهادات Secure Socket Layer (SSL) لنطاقاتها ومنحتها أسماء مختلفة تستخدم مزيجًا من اسم الشركة و واصلة وكلمات مثل “دعم” أو “موظف”.
القراءة ذات الصلة: 6 نصائح للعمل الآمن والآمن عن بعد
كما قام المهاجمون بجمع معلومات حول أهدافهم. “قام الممثلون بعد ذلك بتجميع ملفات عن الموظفين في شركات محددة باستخدام تجريف جماعي للملفات الشخصية العامة على منصات وسائل التواصل الاجتماعي ، وأدوات التوظيف والتسويق ، وخدمات التحقق من الخلفية المتاحة للجمهور ، والبحث مفتوح المصدر ،” كما جاء في الاستشارة. تضمنت المعلومات التي تم جمعها أسماء الأهداف ، وعناوين المنازل ، وأرقام الهواتف الخلوية الشخصية ، وأدوارهم الوظيفية.
ثم واصل المهاجمون الاتصال بعلاماتهم ، مستخدمين أولاً أرقام بروتوكول نقل الصوت عبر الإنترنت (VoIP) ثم استخدموا لاحقًا الأرقام المخادعة للموظفين والإدارات من شركة الضحية. باستخدام تقنيات الهندسة الاجتماعية ، انتحل المحتالون صفة موظفي مكتب المساعدة في تكنولوجيا المعلومات واستخدموا المعلومات من ملفاتهم لكسب ثقة الضحايا.
من هناك ، أقنع المهاجمون الأهداف بأنهم سيحصلون على رابط VPN جديد يتطلب تسجيل دخولهم ، بما في ذلك المصادقة الثنائية (2FA) أو كلمة المرور لمرة واحدة (OTP). في بعض الحالات ، تمت الموافقة على طلبات 2FA أو OTP من قبل الموظفين الذين اعتقدوا خطأً أنه تم منح الوصول في وقت سابق إلى منتحل مكتب تكنولوجيا المعلومات ، بينما في حالات أخرى استخدم المهاجمون هجمات مبادلة SIM للتحايل على التدابير الأمنية.
كما قدمت الوكالات نصائح حول كيفية قيام الشركات بالتخفيف من مخاطر مثل هذه الهجمات. يتضمن ذلك تقييد اتصالات VPN للأجهزة المدارة ، واستخدام مراقبة المجال ، وفحص تطبيقات الويب ومراقبتها بشكل نشط للوصول غير المصرح به.
لئلا ننسى: التصيد كان أيضًا السبب الجذري لخرق تويتر الشهر الماضي ، حيث تم اختطاف حوالي 130 حسابًا رفيع المستوى لترويج عملية احتيال بيتكوين.