تحذير عاجل لـ 1.8 مليار شخص معرضون لسرقة حساباتهم على" Gmail"

12:13 ص - الإثنين 24 فبراير 2025

متسللون

كتب

شيماء حلمي

يحذر خبراء الأمن السيبراني جميع مستخدمي Gmail من وجود اختراق جديد يفسد المصادقة الثنائية "2FA" للسيطرة على الحسابات.

من المفترض أن تضيف المصادقة الثنائية طبقة إضافية من الحماية لحساباتك الخاصة عبر الإنترنت، وذلك عادةً عن طريق إرسال رمز وصول إلى هاتف المستخدم الشرعي أو بريده الإلكتروني.

وتسمى أداة الجرائم الإلكترونية الجديدة "أستاروث"، وهي تسرق هذه النماذج من التعريف في الوقت الحقيقي، وتخدع الضحية وتجعله يعتقد أنه سجل الدخول إلى حساباته بشكل طبيعي عن طريق إرساله إلى صفحة وهمية تبدو مثل متصفحه.

يمكن للقراصنة الذين يستخدمون Astaroth الوصول إلى أسماء المستخدمين وكلمات المرور وأرقام بطاقات الائتمان والمعلومات المصرفية وغيرها من البيانات الهامة بمجرد قيام الضحية بتسجيل الدخول إلى حساباتهم على هذه الصفحات المزيفة.

بمجرد أن يتمكن المهاجمون من التقاط معلوماتك، يمكنهم استخدامها للدخول إلى حساباتك بأنفسهم أو بيع المعلومات على الويب المظلم.

تعمل أداة التصيد الجديدة كوسيط للمتسللين، حيث تلتقط بيانات تسجيل الدخول "أسماء المستخدمين وكلمات المرور"، والرموز "رموز المصادقة الثنائية"، وملفات تعريف الارتباط للجلسة "ملفات متصفح الويب" في الوقت الفعلي. كل هذا يتجاوز بفعالية أي مصادقة ثنائية على حساباتك.

يقوم Astaroth بإنشاء شاشة تسجيل دخول وهمية إلى Gmail ليتمكن الضحية من الوصول إليها، مما يسمح للمتسللين بنسخ معلوماتهم الخاصة قبل تمريرها إلى شاشة تسجيل الدخول إلى بريدهم الإلكتروني الحقيقية.

نظرًا لعدم وجود تحذيرات أمنية على صفحة الويب المزيفة، لا يعرف الضحايا أبدًا ما يحدث حتى فوات الأوان.

الطريقة الوحيدة المؤكدة لتجنب هجوم التصيد الاحتيالي هي تجنب النقر على الرابط المشبوه الأولي الذي سيرسله المحتالون للوصول إلى حساباتك.

وبحسب خبراء الأمن السيبراني، فإن أي شخص يستخدم خدمات مثل Gmail وYahoo وAOL و Microsoft Outlook قد يكون عرضة لهذه الهجمات - وهذا يعني أن أكثر من ملياري حساب بريد إلكتروني قد تقع ضحية لهذا المخطط.

يتضمن التصيد الاحتيالي قيام مجرمي الإنترنت بمحاولة سرقة المعلومات الشخصية مثل كلمات المرور عبر الإنترنت أو التفاصيل المصرفية أو الأموال من ضحية غير منتبهة.

في كثير من الأحيان، يستخدم المجرم بريدًا إلكترونيًا أو مكالمة هاتفية أو حتى موقعًا إلكترونيًا مزيفًا متظاهرًا بأنه من شركة ذات سمعة طيبة.

يمكن للمجرمين استخدام التفاصيل الشخصية لاستكمال ملفات التعريف الخاصة بالضحية والتي يمكن بيعها على الويب المظلم.

حتى الآن، اعتمدت أدوات التصيد الاحتيالي على صفحات تسجيل دخول مزيفة يمكنها فقط التقاط اسم المستخدم وكلمات المرور الرئيسية للضحية.

وهذا يعني أن المصادقة الثنائية لا تزال قادرة على الحفاظ على أمان مستخدمي البريد الإلكتروني من خلال مطالبتهم بالتحقق من أنهم هم من يقومون بتسجيل الدخول إلى حساباتهم.

يأخذ Astaroth عملية التصيد إلى المستوى التالي، من خلال اعتراض رموز التحقق والرسائل النصية ورسائل البريد الإلكتروني في الوقت الفعلي دون علم المستخدم.

وبحسب الباحثين في شركة التكنولوجيا SlashNext ، فإن بائع أداة التصيد هذه يعرضها على المتسللين مقابل 2000 دولار فقط على الويب المظلم.

والأسوأ من ذلك أن الطبيعة المجهولة لهذه المشتريات تجعل من الصعب للغاية على الشرطة تتبع المبيعات أو العثور على المتسللين الذين يشترون أستاروث.

كيف يعمل أستاروث؟

يقوم الضحايا بشن هجوم التصيد الاحتيالي من خلال النقر على عنوان URL مشبوه - مما يؤدي إلى إرسالهم إلى خادم ضار يستخدمه المخترق كـ "وكيل عكسي".

الوكيل العكسي هو خادم يقع "أمام" خادم آخر أو تطبيق أو خدمة سحابية ويقوم بإعادة توجيه جميع طلبات متصفح الويب للضحية إلى تلك الخوادم.

بالنسبة للمتسللين، فإن هذا يسمح لهم بمراقبة والتقاط كل ما يريد الضحية إرساله إلى متصفحه العادي.

يقوم الخادم المارق بتقليد مظهر ووظائف المجال المستهدف مع الاستمرار في إرسال حركة المرور بين الضحية وصفحة تسجيل الدخول الشرعية.

يمكن أن يمر Astaroth دون أن يتم اكتشافه تقريبًا لأنه يرسل اسم المستخدم وكلمة المرور الحقيقيين للمستخدم، ورموز التحقق المكونة من خطوتين، وعنوان IP إلى خادم البريد الإلكتروني الفعلي.

يتم سرقة أي رموز 2FA يرسلها المستخدم على الفور بواسطة Astaroth، حيث ترسل أداة التصيد الاحتيالي للمخترق تنبيهًا على Telegram بأن رمز الأمان مطلوب لتسجيل الدخول.

أخيرًا، تقوم مجموعة القرصنة بالتقاط ملفات تعريف الارتباط الخاصة بجلسة المستخدم، والتي ترسلها الخوادم الشرعية بعد تسجيل الدخول بنجاح.

ويقوم أستاروث بتسليمها للمهاجم، الذي يمكنه إدخالها في متصفحه المزيف الذي يقوم الضحية بإدخال جميع بياناته فيه دون علمه.

إلى جانب برنامج التصيد الاحتيالي، ورد أن بائع Astaroth على شبكة الويب المظلمة وعد بتوفير ستة أشهر من التحديثات التي ستبقي المتسللين على اطلاع بأحدث تحسينات الأمن السيبراني.

أما بالنسبة لمن هم في خطر، يحذر خبراء الإنترنت من أن القراصنة الذين يستخدمون Astaroth قد يستهدفون مليارات مستخدمي البريد الإلكتروني وأولئك الذين يستخدمون عمليات تسجيل الدخول الخاصة بطرف ثالث للوصول إلى حساباتهم.

تابع بوابة روزا اليوسف علي

جوجل نيوز