ويقوم الباحثون الأمنيون بالتحقيق في هجوم تصيد واسع النطاق استهدف أكثر من 130 شركة، بما في ذلك المؤسسات المالية وخدمات الرسائل وشركات الاتصالات. وقد يستغرق الكشف الكامل عن حجم حملة الاختراق هذه، التي أطلق عليها اسم “0ktapus”، عدة سنوات.
من أجل التوضيح، لا علاقة لهذه الحملة الاحتيالية بـ خرق البيانات الأخير لـ LastPass. ولكن الأمر يتعلق بـ تويليو و دورداش الهجمات التي تم الإبلاغ عنها يومي 8 أغسطس و 25 أغسطس.
0ktapus سرق ما يقرب من 10000 بيانات اعتماد تسجيل الدخول
تركز حملة التصيد الاحتيالي 0ktapus على الشركات الأمريكية الكبرى، باستثناء بعض الشركات الشاذة التي تتخذ من بلدان أخرى حول العالم مقراً لها. والمثير للدهشة أن قائمة أهداف 0ktapus تشمل Microsoft وAT&T وVerizon وCoinbase وTwitter — مرة أخرى، هذه الشركات هي أهداف، ولا نعرف ما إذا كانت قد تعرضت للاختراق بنجاح.
اعتبارًا من 26 أغسطس، تويليو و دورداش هما الشركتان الرئيسيتان الوحيدتان اللتان أعلنتا عن اختراق بيانات 0ktapus. وتقول الشركتان إن بيانات المستخدم تم الوصول إليها من قبل قراصنة، على الرغم من أن Twilio تقول إن بيانات اعتماد تسجيل الدخول آمنة. تحذر DoorDash من أن مجموعة صغيرة من العملاء تعرضت لسرقة معلومات تسجيل الدخول والدفع الخاصة بهم.
أ تقرير كلاود فلير يوضح هذا المقال كيفية عمل مخطط 0ktapus. في الأساس، يتم إرسال رسائل نصية “آلية” إلى عدد كبير من الموظفين في الشركات المستهدفة (بما في ذلك الموظفون السابقون) تحذرهم من انتهاء صلاحية معلومات تسجيل الدخول الخاصة بهم. يؤدي الرابط المضمن في الرسائل النصية إلى نسخة مزيفة من موقع صاحب العمل، مما يدفع المستخدم إلى تحديث كلمة المرور الخاصة به.
تستخدم كل شركة مستهدفة في هذه الحملة إدارة الهوية والوصول من Okta وتوفر جميع هذه الخدمات الحماية لحسابات الموظفين باستخدام المصادقة الثنائية (2FA). فإذا حاول جهاز غير معروف تسجيل الدخول إلى حساب أحد الموظفين، يتلقى الموظف رمز التحقق على هاتفه.
لذا، تحاكي صفحات الويب الخاصة بشركة 0ktapus نظام تحديد الهوية الخاص بشركة Okta. فعندما يكتب الموظف اسم المستخدم وكلمة المرور في صفحة ويب تابعة لشركة 0ktapus، يتم إعادة توجيهها تلقائيًا إلى قناة سرية على تطبيق Telegram. ويأخذ المتسللون هذه المعلومات ويحاولون تسجيل الدخول إلى حساب الموظف، مما يؤدي إلى تشغيل عملية التحقق من المصادقة الثنائية. ويُطلب من الضحية مشاركة رمز التحقق من المصادقة الثنائية من هاتفه، مما يمنح المتسللين إمكانية الوصول إلى الواجهة الخلفية للشركة.
لا نعرف السبب وراء هذه الهجمات
تتمتع حملة التصيد الاحتيالي هذه بسرد واضح نسبيًا. المجموعة-IB وتشير التقارير إلى أن 0ktapus استهدفت في البداية شركات الاتصالات، والتي ربما قدمت أرقام الهواتف لمحاولات التصيد الاحتيالي 2FA اللاحقة.
كانت أغلب محاولات التصيد هذه تستهدف موظفي الشركات. من الناحية النظرية، كان بإمكان المجموعة التي تقف وراء 0ktapus سرقة أي شيء من الشركات، على الرغم من أن التقارير الحالية تشير إلى أن المجموعة كانت تسعى إلى الحصول على بيانات العملاء. يمكن استخدام هذه المعلومات في هجمات مستقبلية ضد الشركات أو الأفراد، ولكن للأسف، لسنا متأكدين مما حصلت عليه مجموعة 0ktapus.
وهنا تبدأ الأمور في الشعور بالإحباط؛ فقد كانت حملة 0ktapus عشوائية بعض الشيء. ويصفها الباحثون في Group-IB بأنها “حملة هواة”، مشيرين إلى أن مجموعة 0ktapus فشلت في تكوين مجموعة التصيد الخاصة بها بشكل صحيح.
كما ذكرنا سابقًا، خدعت 0ktapus الأشخاص لمشاركة رموز التحقق 2FA (وبيانات تسجيل الدخول) مع المتسللين. لكن رموز التحقق هذه تنتهي صلاحيتها بعد بضع دقائق فقط، لذلك لا يمكن للمتسللين اختراق الحساب إذا لم يكونوا سريعين بما يكفي. ومن الواضح أن مجموعة 0ktapus جلست أمام أجهزة الكمبيوتر الخاصة بهم طوال اليوم لكتابة رموز 2FA يدويًا، بدلاً من استخدام روبوت لإدخال المعلومات تلقائيًا واختطاف الحسابات.
بالإضافة إلى ذلك، أُجبر ضحايا مخطط التصيد الاحتيالي هذا (بواسطة نطاقات التصيد الاحتيالي) على تنزيل إصدار أصلي من AnyDesk. كما تعلمون، برنامج سطح مكتب بعيد لأجهزة الكمبيوتر الشخصية. هذا البرنامج عديم الفائدة تمامًا عند استهداف الأشخاص عبر الرسائل النصية.
نشعر بالإحباط لأن الشركات وقعت ضحية لمخطط تصيد “هواة”، وخاصة إذا كان هذا المخطط له سجل ورقي واضح.
ربما تمكن باحثو الأمن من تحديد هوية أحد القراصنة
اكتشف الباحثون في Group-IB 169 نطاقًا فريدًا مرتبطًا بـ 0ktapus. أغلب هذه النطاقات عبارة عن نسخ مقلدة من مواقع الويب الخاصة بالشركات وتستخدم عناوين URL مثل
http: (لا تقم بزيارة هذا الرابط، ولكن يرجى ملاحظة أنه يستخدم HTTP بدلاً من HTTPS، وهي علامة واضحة على التصيد الاحتيالي.)
لم تكن مجموعة IB بحاجة إلى البحث عن هذه المجالات. فقد أعادت المجموعة التي تقف وراء 0ktapus استخدام نفس الخطوط الفريدة وملفات الصور والبرامج النصية على مواقعها المزيفة. وبمجرد اكتشاف مجال واحد من مجالات 0ktapus، يصبح العثور على بقية المجالات أمرًا سهلاً.
الأمر الأكثر أهمية هو أن مجموعة IB قامت بتحليل مجموعة التصيد 0ktapus للعثور على قناة Telegram المرتبطة بها. وتم تعقب أحد المستخدمين في هذه القناة، وهو مبرمج يبلغ من العمر 22 عامًا يُلقب بـ “Subject X”، وتم التعرف عليه. وكشفت التعليقات التي تركها “Subject X” في مجموعات Telegram الأخرى عن حسابه على Twitter وموقعه المزعوم.
على الرغم من النجاح النسبي الذي حققه برنامج 0ktapus، فمن الواضح أنه عملية هواة. وهذا خبر رائع للسلطات، ولكنه أيضًا علامة على أن الشركات لا تأخذ الأمن على محمل الجد.
ماذا يجب عليك أن تفعل؟
ما زلنا لا نعرف الكثير عن حملة 0ktapus. ومن المفترض أن العديد من الشركات بحاجة إلى الإعلان عن تعرضها للاختراق. ونظراً لاتساع نطاق مخطط التصيد الاحتيالي هذا، فقد يستغرق الأمر سنوات قبل أن تظهر كل التفاصيل.
ومع ذلك، لا يمكننا أن نقدم لك سوى النصيحة المعتادة:
- افحص أي عنوان URL يتم إرساله عبر البريد الإلكتروني أو رسالة نصية.
- لا تتفاعل مع مواقع الويب التي تستخدم HTTP بدلاً من HTTPS.
- إذا أرسل إليك شخص ما عنوان URL أو طلبًا متعلقًا بالعمل، فتأكد من صحته لدى صاحب العمل الخاص بك.
- قم بتمكين المصادقة الثنائية عندما يكون ذلك ممكنًا.
- استخدم مدير كلمات المرور لتوليد بيانات اعتماد تسجيل دخول فريدة لكل موقع ويب.
- إذا كانت وظيفتك تتضمن بيانات حساسة، فاسأل فريق الأمان في شركتك عن حلول FIDO2، مثل يوبيكي.
- أضف تنبيه الاحتيال قم بإضافتها إلى تقرير الائتمان الخاص بك لتقليل التأثير المالي الناجم عن سرقة الهوية.
ستؤدي هذه الخطوات إلى تحسين مستوى الأمان لديك بشكل كبير. كما ستضمن لك أيضًا أنه في حالة حدوث خرق للبيانات، يمكنك الاستجابة بسرعة وحماية نفسك (على أمل ذلك).
مرة أخرى، هذه قصة قيد التطوير. سنقوم بتحديث هذه المقالة عندما نتعرف على معلومات جديدة حول حملة 0ktapus. للحصول على آخر الأخبار التقنية، انضم إلى النشرة الإخبارية المجانية.