ال مكتب التحقيقات الفيدرالي (مكتب التحقيقات الفدرالي) و وكالة الأمن السيبراني وأمن البنية التحتية أصدرت (CISA) يوم الخميس تنبيهًا مشتركًا للتحذير من التهديد المتزايد من التصيد الصوتي أو “التصيد”الهجمات التي تستهدف الشركات. جاء هذا الاستشارة بعد أقل من 24 ساعة من نشر KrebsOnSecurity نظرة متعمقة على مجموعة إجرامية تقدم خدمة يمكن للأشخاص توظيفها لسرقة بيانات اعتماد VPN وغيرها من البيانات الحساسة من الموظفين الذين يعملون عن بعد أثناء جائحة فيروس كورونا.
يقرأ التنبيه: “أدى جائحة COVID-19 إلى تحول جماعي إلى العمل من المنزل ، مما أدى إلى زيادة استخدام الشبكات الخاصة الافتراضية للشركات (VPN) والقضاء على التحقق شخصيًا”. “في منتصف شهر تموز (يوليو) 2020 ، بدأ مجرمو الإنترنت حملة تصيد – للوصول إلى أدوات الموظفين في شركات متعددة باستهداف عشوائي – بهدف نهائي هو تحقيق الدخل من الوصول.”
كما ورد في قصة يوم الأربعاء ، قالت الوكالات إن مواقع التصيد الاحتيالي التي أنشأها المهاجمون تميل إلى تضمين واصلات واسم الشركة المستهدفة وكلمات معينة – مثل “الدعم” و “التذكرة” و “الموظف”. يركز الجناة على الهندسة الاجتماعية التعيينات الجديدة في الشركة المستهدفة ، وانتحال شخصية الموظفين في مكتب مساعدة تكنولوجيا المعلومات للشركة المستهدفة.
يقول التنبيه المشترك لمكتب التحقيقات الفيدرالي / CISA (PDF) إن عصابة التصيد تقوم أيضًا بتجميع ملفات عن الموظفين في شركات محددة باستخدام تجريف جماعي للملفات الشخصية العامة على منصات وسائل التواصل الاجتماعي ، وأدوات التوظيف والتسويق ، وخدمات التحقق من الخلفية المتاحة للجمهور ، والبحث مفتوح المصدر. من التنبيه:
“بدأ الممثلون في البداية باستخدام أرقام الصوت عبر بروتوكول الإنترنت (VoIP) غير المنسوبة للاتصال بالموظفين المستهدفين على هواتفهم المحمولة الشخصية ، ثم بدأوا لاحقًا في دمج الأرقام المخادعة للمكاتب والموظفين الآخرين في الشركة الضحية. استخدم الممثلون تقنيات الهندسة الاجتماعية ، وفي بعض الحالات ، تم تصويرهم كأعضاء في مكتب مساعدة تكنولوجيا المعلومات للشركة الضحية ، مستخدمين معرفتهم بمعلومات التعريف الشخصية للموظف – بما في ذلك الاسم والوظيفة والمدة في الشركة وعنوان المنزل – لكسب الثقة من الموظف المستهدف “.
ثم أقنع الممثلون الموظف المستهدف بأنه سيتم إرسال رابط VPN جديد وطلب تسجيل الدخول ، بما في ذلك أي 2FA [2-factor authentication] أو OTP [one-time passwords]. قام الممثل بتسجيل المعلومات التي قدمها الموظف واستخدمها في الوقت الفعلي للوصول إلى أدوات الشركة باستخدام حساب الموظف “.
يشير التنبيه إلى أنه في بعض الحالات وافق الموظفون المطمئن على 2FA أو موجه OTP ، إما عن طريق الخطأ أو الاعتقاد بأنه كان نتيجة الوصول السابق الممنوح لمنتحل مكتب المساعدة. في حالات أخرى ، كان المهاجمون قادرين على اعتراض الرموز التي تستخدم لمرة واحدة من خلال استهداف الموظف بتبديل بطاقة SIM ، والتي تتضمن أشخاص الهندسة الاجتماعية في شركات الهاتف المحمول لمنحهم التحكم في رقم هاتف الهدف.
قالت الوكالات إن المحتالين يستخدمون بيانات اعتماد VPN التي تم التقاطها لتعدين قواعد بيانات الشركة الضحية للحصول على المعلومات الشخصية لعملائهم للاستفادة من الهجمات الأخرى.
يقرأ التنبيه: “استخدم الممثلون بعد ذلك وصول الموظف لإجراء مزيد من الأبحاث حول الضحايا ، و / أو للحصول على الأموال عن طريق الاحتيال باستخدام طرق مختلفة تعتمد على المنصة التي يتم الوصول إليها”. “اختلفت طريقة تحقيق الدخل اعتمادًا على الشركة ولكنها كانت شديدة الجرأة مع وجود جدول زمني ضيق بين الاختراق الأولي ونظام السحب المضطرب.”
يتضمن الاستشارة عددًا من الاقتراحات التي يمكن للشركات تنفيذها للمساعدة في تخفيف التهديد من هجمات التصيد ، بما في ذلك:
• تقييد اتصالات VPN على الأجهزة المدارة فقط ، باستخدام آليات مثل فحوصات الأجهزة أو الشهادات المثبتة ، لذا فإن إدخال المستخدم وحده لا يكفي للوصول إلى VPN الخاص بالشركة.
• تقييد ساعات الوصول إلى VPN ، إن أمكن ، لتقليل الوصول خارج الأوقات المسموح بها.
• توظيف مراقبة المجال لتتبع إنشاء ، أو تغييرات ، الشركات ، أسماء المجالات التجارية.
• مسح ومراقبة تطبيقات الويب بنشاط للوصول غير المصرح به والتعديل والأنشطة الشاذة.
• تطبيق مبدأ الامتياز الأقل وتنفيذ سياسات تقييد البرامج أو الضوابط الأخرى ؛ مراقبة وصول المستخدم المصرح به واستخدامه.
• ضع في اعتبارك استخدام عملية مصادقة رسمية للاتصالات بين الموظف والموظف التي تتم عبر شبكة الهاتف العامة حيث يتم استخدام العامل الثاني
مصادقة المكالمة الهاتفية قبل مناقشة المعلومات الحساسة.
• تحسين رسائل 2FA و OTP لتقليل الالتباس حول محاولات المصادقة على الموظفين.
• تحقق من أن روابط الويب لا تحتوي على أخطاء إملائية أو تحتوي على المجال الخطأ.
• ضع إشارة مرجعية على عنوان URL الصحيح لشبكة VPN للشركة ولا تزور عناوين URL بديلة على أساس مكالمة هاتفية واردة فقط.
• احذر من المكالمات الهاتفية أو الزيارات أو رسائل البريد الإلكتروني غير المرغوب فيها من أفراد مجهولين يزعمون أنهم من منظمة شرعية. لا تقدم معلومات شخصية أو معلومات عن مؤسستك ، بما في ذلك هيكلها أو شبكاتها ، ما لم تكن متأكدًا من سلطة الشخص للحصول على المعلومات. إذا أمكن ، حاول التحقق من هوية المتصل مباشرة مع الشركة.
• إذا تلقيت مكالمة تصيد ، فقم بتوثيق رقم هاتف المتصل بالإضافة إلى المجال الذي حاول الممثل إرسالك إليه وترحيل هذه المعلومات إلى سلطات تطبيق القانون.
• الحد من كمية المعلومات الشخصية التي تنشرها على مواقع الشبكات الاجتماعية. الإنترنت هو مورد عام ؛ فقط نشر المعلومات التي تشعر بالراحة مع أي شخص يراها.
• تقييم إعداداتك: قد تغير المواقع خياراتها بشكل دوري ، لذا قم بمراجعة إعدادات الأمان والخصوصية بانتظام للتأكد من أن اختياراتك لا تزال مناسبة.
العلامات: CISA، COVID-19، fbi، vishing
تم نشر هذا الإدخال يوم الجمعة ، 21 أغسطس ، 2020 الساعة 4:34 مساءً ويودع تحت أحدث التحذيرات ، أدوات الأمان ، العاصفة القادمة. يمكنك متابعة أي تعليقات على هذا الإدخال من خلال موجز RSS 2.0. يمكنك التخطي إلى النهاية وترك تعليق. والأزيز حاليا لا يسمح.