حملة Dropbox سريعة النمو تسرق بيانات اعتماد Microsoft SharePoint تستخدم جهات التهديد الرسائل المرسلة من Dropbox لسرقة بيانات اعتماد مستخدم Microsoft في حملة اختراق البريد الإلكتروني التجاري سريعة النمو (BEC).
يتجنب هذا الجهد عمليات الفحص الأمني المستندة إلى معالجة اللغة الطبيعية (NLP)، ويوضح التطور السريع لهذه الأنواع من الهجمات.
لاحظ الباحثون في Check Point Harmony أكثر من 5000 من الهجمات –
حيث تقود صفحات تسجيل الدخول المزيفة الضحايا إلى موقع لجمع بيانات الاعتماد – في الأسبوعين الأولين من شهر سبتمبر وحده.
كما كشفوا في منشور مدونة حديث.
وأبلغوا Dropbox بوجود الحملة في 18 سبتمبر.
يعد الهجوم مثالًا آخر على أحدث إصدار من BEC – BEC 3.0 – حيث يستخدم المهاجمون مواقع شرعية مألوفة وموثوق بها .
من قبل المستخدمين النهائيين لإرسال واستضافة مواد التصيد.
حسبما كتب فريق Check Point في المنشور. تشمل المواقع الشهيرة الأخرى المستخدمة في هجمات BEC 3.0 Google وQuickBooks وPayPal.
وجاء في المنشور أن “شرعية هذه المواقع تجعل من المستحيل تقريبًا على خدمات أمن البريد الإلكتروني أن تتوقف وأن يتمكن المستخدمون النهائيون من اكتشافها”.
.
“إنها واحدة من الابتكارات الأكثر ذكاءً التي رأيناها، ونظرًا لحجم هذا الهجوم حتى الآن، فهي واحدة من أكثر الهجمات شعبية وفعالية.”
في الواقع، تشكل الهجمات خطورة على المستخدمين لأنها تتهرب من تقنية البرمجة اللغوية العصبية (NLP) .
وفحص عنوان URL الذي تستخدمه تقنية أمان البريد الإلكتروني لوضع علامة على الرسائل باعتبارها مشبوهة.
حملة Dropbox سريعة النمو تسرق بيانات اعتماد Microsoft SharePoint “البرمجة اللغوية العصبية غير مجدية هنا –
فاللغة تأتي مباشرة من الخدمات المشروعة ولا يوجد شيء غريب،”
وفقًا لما جاء في المنشور. وبطريقة مماثلة، فإن محاولة وضع علامة على عنوان URL مشبوه لا تنجح أيضًا،
نظرًا لأن الروابط المستخدمة في الرسائل توجه إلى موقع Dropbox شرعي.
مباشرة من دروببوإكس
يبدو أن الرسائل في الحملة التي لاحظها الباحثون تأتي مباشرة من Dropbox،.
مما يتيح للمستخدمين معرفة أن لديهم ملفًا أو ملفات لتنزيلها.
يؤدي النقر فوق الرابط الموجود في الرسالة إلى توجيه الضحايا المحتملين إلى صفحة أخرى.
حيث يُطلب منهم النقر فوق الرابط لبدء التنزيل.
تتميز هذه الخطوة الثانية في الحملة بأن الصفحة التي يتم توجيه المستخدمين إليها تتم استضافتها على عنوان URL شرعي لـ Dropbox.
ومع ذلك، تم تصنيف الصفحة على أنها OneDrive، وهي خدمة تخزين وتنزيل سحابية من Microsoft.
إذا لم يلاحظ المستخدمون هذا التناقض، فإن الرابط الموجود في هذه الصفحة الثانوية –
والذي يتظاهر بنقل المستخدمين إلى ملفاتهم أو ملفاتهم – يؤدي إلى موقع تصيد يبدو وكأنه تسجيل دخول لـ Microsoft SharePoint،
ويطلب من الأشخاص إدخال بيانات الاعتماد الخاصة بهم. تتم استضافة هذه الصفحة الأخيرة في الحملة خارج Dropbox.
وأشار الباحثون إلى أن هذه الحالة هي مثال مثالي لما يسمى BEC 3.0،
والذي يستفيد من الخدمات السحابية.
في حين أن هجمات BEC انتحلت أو انتحلت كيانات شرعية منذ فترة طويلة، فإن BEC 3.0 يمثل تحديًا جديدًا تمامًا للمدافعين لأنه يخلق هجمات تبدو وكأنها تأتي من خدمات مشروعة،
مما يجعل من الصعب بشكل خاص إيقافها والتعرف عليها، سواء من خدمات الأمن أو المستخدمين النهائيين، وقال فريق نقطة التفتيش.
تجنب التسوية BEC
وقال الباحثون إن هناك بعض الخطوات التي يمكن للمؤسسات اتخاذها لمساعدة موظفيها على تحديد هجمات BEC 3.0 وإيقافها أيضًا قبل أن تصل إلى المستخدم النهائي.
بالنسبة للأولى، يجب على المنظمات تثقيف المستخدمين حول التكتيكات الشائعة وتشجيعهم على التوقف مؤقتًا وملاحظة النشاط المشبوه قبل النقر على رسائل البريد الإلكتروني الواردة من مصادر غير مألوفة أو روابط غير مرغوب فيها، وفقًا للمنشور.
على سبيل المثال، لاحظ الباحثون في Check Point أن التناقض بين تلقي بريد إلكتروني من مجال Dropbox وتلقي صفحة مرتبطة بحساب OneDrive يجب أن يكون بمثابة دليل على أن حملة Dropbox ضارة.
يمكن للمستخدم الذكي بعد ذلك تحديد ذلك وحذف الرسالة قبل الوصول إلى صفحة التصيد الاحتيالي.
إن نشر حل أمني شامل يتضمن إمكانات مسح المستندات والملفات،
ودفاعات الذكاء الاصطناعي، بالإضافة إلى نظام قوي لحماية عناوين URL الذي يجري عمليات فحص شاملة ويحاكي صفحات الويب لتعزيز الأمان،
يمكن أن يساعد أيضًا في إحباط حملات BEC 3.0، وفقًا لـ Check Point.
يجب على الشركات أن تنتبه إلى أن هجمات BEC آخذة في الارتفاع، ليس فقط من حيث العدد ولكن من حيث التعقيد.
في عام 2022، أفاد مكتب التحقيقات الفيدرالي أنه سجل أكثر من 21000 شكوى بشأن BEC،.
وهو ما يصل إلى خسائر معدلة تزيد عن 2.7 مليار دولار، وأن ناقل الهجوم كلف الشركات في جميع أنحاء العالم أكثر من 50 مليار دولار في السنوات العشر الماضية.
يعكس هذا الرقم نموًا في خسائر الأعمال لشركة BEC بنسبة 17٪ على أساس سنوي في عام 2022.
وكتب فريق Check Point في المنشور: “لهذا السبب تتزايد وتيرة وشدة هذه الهجمات”.