مرتاح
05-31-2005, 06:59 AM
سرقة ردود المواقع الإلكترونية الأوتوماتيكية بعد ضخ آلاف العناوين الإلكترونية نحوها أثناء الاشتراك فيها
http://www.asharqalawsat.com/2005/05/31/images/internet.302606.jpg
يتعرف مرسلو البريد غير المرغوب فيه (Spam) والمحتالون الذين يمارسون طرق «التصّيد الاحتيالي» (fishing)، على المزيد من اسرار ضحاياهم ويحسنون نوعية هجماتهم، وفقا لأحدث دراسة نشرت الاسبوع الماضي.
وذكرت الدراسة التي نشرتها شركة «بلو سيكيوريتي» ان مواقع الإنترنت التي تستخدم عناوين البريد الإلكتروني لتذكيرك بكلمة المرور في حالة نسيانها، قد اصبحت عرضة للاستغلال من بعض الجماعات للحصول على معلومات عن الاشخاص المسجلين فيها، ورسم صورة متكاملة عن شخصياتهم او ما يسمى بوضع «بروفايل» لهم! وتعتمد الطريقة التي وصفتها الدراسة، على قيام مرسلي البريد غير المرغوب فيه والتصيد الاحتيالي بوضع، او ضخ، الاف من العناوين الإلكترونية اوتوماتيكيا عبر الصفحة المخصصة لتسجيل اسم المشترك ووسائل التذكير بكلمات المرور له في موقع إلكتروني ما. ولأن العديد من الاعمال التجارية وغيرها على الإنترنت، ترد برسالة محددة عندما يتم تسجيل عنوان إلكتروني معها، يمكن للمهاجمين معرفة ما اذا كان هذا العنوان يمثل زبونا حقيقيا لهم لاختبار نواياهم الاجرامية.
وباستخدام المعلومات التي تم الحصول عليها من المواقع يمكن للمهاجمين اعداد رسائل إلكترونية مناسبة تماما توائم سمات المتلقي لاسقاطه في حبائل المحتالين. وهذه الرسائل المناسبة تجعل الامور اكثر صعوبة على مستخدمي الإنترنت، للتفريق بين الرسائل الصادقة والرسائل غير المرغوب فيها، وتلك التي تستهدف النصب والاحتيال. كما لا تتمكن، على الارجح، برامج ترشيح الرسائل من اكتشاف الرسائل المعدة خصيصا، كما اوضح الخبراء. واوضح ديف جيفانز رئيس «مجموعة مكافحة التصيد الاحتيالي» Anti-fishing Working Group ان «هجمات التصيد الاحتيالي، اصبحت في الآونة الاخيرة، ذات طبيعة خصوصية اكثر من السابق». واضاف ان هذه الرسائل ذات الطبيعة الاحتيالية تشمل اسم المتلقي او عنوانه الإلكتروني، بل وفي بعض الاحيان معلومات شخصية عنه.
وتجدر الاشارة الى ان التصيد الاحتيالي، اصبح ظاهرة نصب واحتيال اكثر انتشارا على شبكة الإنترنت لسرقة معلومات حساسة مثل اسم المستخدم وكلمات العبور وارقام بطاقات الائتمان. ويبيع اللصوص هذه المعلومات او يستخدمونها لارتكاب جرائم سرقة هوية. وتشمل هذه العمليات الاحتيالية، في العادة، رسائل إلكترونية غير مرغوب فيها وانشاء مواقع وهمية على شبكة الإنترنت تشبه تماما صفحات حقيقية.
ويحتفظ مرسلو البريد غير المرغوب فيه بقوائم بريد إلكتروني بعضها من اختراعهم او تم شراؤه او جمعه من على شبكة الإنترنت باستخدام وسائل جمع العناوين.
* خدعة إنترنتية
* الخدعة في عملية التذكير بكلمة المرور والتسجيل هي في رد الفعل، فالعديد من الشركات العاملة عبر الإنترنت ترد برسالة محددة مثل «هذا العنوان مستخدم بالفعل» عندما تجري محاولة لتسجيل عنوان مع الموقع. واذا ما حصل المهاجم على مثل هذه الرسالة، فانه يعرف ان هذا العنوان يمثل زبونا حقيقيا.
واوضح اران رشيف المدير التنفيذي لشركة «بلو سيكيوريتي» انه وعن طريق مضاهاة العناوين الإلكترونية مع مواقع الإنترنت، يمكن لمجرمي شبكة الإنترنت الكشف عن هوية الشخص وجنسه واهتماماته الجنسية والميول السياسية له وموقعه الجغرافي، وهواياته والمواقع التجارية التي استخدمها الشخص صاحب العنوان.
واضاف رشيف «تخيل ان شخصا يعرف كل المواقع الإلكترونية التي سجلت نفسك معها، وفكر في كيفية الاستفادة من ذلك. وبتجميع كل هذه المعلومات يمكن اعداد صورة تفصيلية للشخص، وليس مجرد معلومات متفرقة».
ونتيجة لذلك يمكن للمهاجم تحقيق معدلات نجاح عالية، لان البريد الإلكتروني يقدم للمتلقي غير المتشكك معلومات دقيقة في رسالة تبدو مثل الرسائل الحقيقية المقبلة من المصادر. وعلى سبيل المثال، يمكن صياغة الرسائل الإلكترونية التي تدعي انها مقبلة من مصرف او شركة بطاقات ائتمان بشكل يظهر فيها اسم المتلقي وتشير الى محل على الإنترنت يستخدمه.
ووجدت شركة «بلو سيكيوريتي» ان اغلبية المواقع الإلكترونية الاميركية الشعبية تسمح لما يطلق عليه الاشخاص الذين يمارسون التصيد الاحتيالي بتكوين «ملفات شخصية» عن الاشخاص. وبالاضافة الى ذلك فإن معظم المواقع الصغيرة، بما في ذلك مواقع البيع الإلكتروني، والفرق الرياضية، والمنظمات السياسية وغيرها من الجماعات، معرضة هي الاخرى لمثل هذه العمليات.
غير انه طبقا لبحث «بلو سيكيوريتي» فإن «الملفات الشخصية» المعادية لم تتحول الى ظاهرة بعد.
وذكر رشيف انه يبدو ان بعض اصحاب مواقع الإنترنت التجارية، مثل المصارف الكبرى، على علم بهذه المشكلة. وهذه المواقع لا تسمح للاشخاص بالتسجيل باستخدام عناوينهم الإلكترونية. كما انها تطلب معلومات اضافية للتسجيل او للتذكرة بكلمة المرور، او تستخدم اجراءات أمنية اخرى.
* افشال الهجمات
* واخيرا فان هذه الطريقة يمكن ان تنفذ فقط اذا كان الموقع يبعث بردود فعل مختلفة للعناوين غير المسجلة او المسجلة. ومن العوامل التي تؤدي الى افشال مثل هذه الهجمات طلب المواقع الإلكترونية المشروعة تسجيل بيانات اخرى عدا العنوان الإلكتروني مثل رقم بطاقة الائتمان، عندها لن يتمكن المجرمون من تنفيذ مآربهم.
وكذلك تفشل مهمة العاملين في التصيّد الاحتيالي عند اتخاذ بعض الاجراءات الأمنية الاخرى، مثل طلب بعض المواقع الإلكترونية من الشخص الراغب في التسجيل حل لغز ما. ويتمثل حلم المواقع الإلكترونية في تصميم موقع على الإنترنت لا يمكن تسريب معلومات شخصية منه على الاطلاق.
http://www.asharqalawsat.com/2005/05/31/images/internet.302606.jpg
يتعرف مرسلو البريد غير المرغوب فيه (Spam) والمحتالون الذين يمارسون طرق «التصّيد الاحتيالي» (fishing)، على المزيد من اسرار ضحاياهم ويحسنون نوعية هجماتهم، وفقا لأحدث دراسة نشرت الاسبوع الماضي.
وذكرت الدراسة التي نشرتها شركة «بلو سيكيوريتي» ان مواقع الإنترنت التي تستخدم عناوين البريد الإلكتروني لتذكيرك بكلمة المرور في حالة نسيانها، قد اصبحت عرضة للاستغلال من بعض الجماعات للحصول على معلومات عن الاشخاص المسجلين فيها، ورسم صورة متكاملة عن شخصياتهم او ما يسمى بوضع «بروفايل» لهم! وتعتمد الطريقة التي وصفتها الدراسة، على قيام مرسلي البريد غير المرغوب فيه والتصيد الاحتيالي بوضع، او ضخ، الاف من العناوين الإلكترونية اوتوماتيكيا عبر الصفحة المخصصة لتسجيل اسم المشترك ووسائل التذكير بكلمات المرور له في موقع إلكتروني ما. ولأن العديد من الاعمال التجارية وغيرها على الإنترنت، ترد برسالة محددة عندما يتم تسجيل عنوان إلكتروني معها، يمكن للمهاجمين معرفة ما اذا كان هذا العنوان يمثل زبونا حقيقيا لهم لاختبار نواياهم الاجرامية.
وباستخدام المعلومات التي تم الحصول عليها من المواقع يمكن للمهاجمين اعداد رسائل إلكترونية مناسبة تماما توائم سمات المتلقي لاسقاطه في حبائل المحتالين. وهذه الرسائل المناسبة تجعل الامور اكثر صعوبة على مستخدمي الإنترنت، للتفريق بين الرسائل الصادقة والرسائل غير المرغوب فيها، وتلك التي تستهدف النصب والاحتيال. كما لا تتمكن، على الارجح، برامج ترشيح الرسائل من اكتشاف الرسائل المعدة خصيصا، كما اوضح الخبراء. واوضح ديف جيفانز رئيس «مجموعة مكافحة التصيد الاحتيالي» Anti-fishing Working Group ان «هجمات التصيد الاحتيالي، اصبحت في الآونة الاخيرة، ذات طبيعة خصوصية اكثر من السابق». واضاف ان هذه الرسائل ذات الطبيعة الاحتيالية تشمل اسم المتلقي او عنوانه الإلكتروني، بل وفي بعض الاحيان معلومات شخصية عنه.
وتجدر الاشارة الى ان التصيد الاحتيالي، اصبح ظاهرة نصب واحتيال اكثر انتشارا على شبكة الإنترنت لسرقة معلومات حساسة مثل اسم المستخدم وكلمات العبور وارقام بطاقات الائتمان. ويبيع اللصوص هذه المعلومات او يستخدمونها لارتكاب جرائم سرقة هوية. وتشمل هذه العمليات الاحتيالية، في العادة، رسائل إلكترونية غير مرغوب فيها وانشاء مواقع وهمية على شبكة الإنترنت تشبه تماما صفحات حقيقية.
ويحتفظ مرسلو البريد غير المرغوب فيه بقوائم بريد إلكتروني بعضها من اختراعهم او تم شراؤه او جمعه من على شبكة الإنترنت باستخدام وسائل جمع العناوين.
* خدعة إنترنتية
* الخدعة في عملية التذكير بكلمة المرور والتسجيل هي في رد الفعل، فالعديد من الشركات العاملة عبر الإنترنت ترد برسالة محددة مثل «هذا العنوان مستخدم بالفعل» عندما تجري محاولة لتسجيل عنوان مع الموقع. واذا ما حصل المهاجم على مثل هذه الرسالة، فانه يعرف ان هذا العنوان يمثل زبونا حقيقيا.
واوضح اران رشيف المدير التنفيذي لشركة «بلو سيكيوريتي» انه وعن طريق مضاهاة العناوين الإلكترونية مع مواقع الإنترنت، يمكن لمجرمي شبكة الإنترنت الكشف عن هوية الشخص وجنسه واهتماماته الجنسية والميول السياسية له وموقعه الجغرافي، وهواياته والمواقع التجارية التي استخدمها الشخص صاحب العنوان.
واضاف رشيف «تخيل ان شخصا يعرف كل المواقع الإلكترونية التي سجلت نفسك معها، وفكر في كيفية الاستفادة من ذلك. وبتجميع كل هذه المعلومات يمكن اعداد صورة تفصيلية للشخص، وليس مجرد معلومات متفرقة».
ونتيجة لذلك يمكن للمهاجم تحقيق معدلات نجاح عالية، لان البريد الإلكتروني يقدم للمتلقي غير المتشكك معلومات دقيقة في رسالة تبدو مثل الرسائل الحقيقية المقبلة من المصادر. وعلى سبيل المثال، يمكن صياغة الرسائل الإلكترونية التي تدعي انها مقبلة من مصرف او شركة بطاقات ائتمان بشكل يظهر فيها اسم المتلقي وتشير الى محل على الإنترنت يستخدمه.
ووجدت شركة «بلو سيكيوريتي» ان اغلبية المواقع الإلكترونية الاميركية الشعبية تسمح لما يطلق عليه الاشخاص الذين يمارسون التصيد الاحتيالي بتكوين «ملفات شخصية» عن الاشخاص. وبالاضافة الى ذلك فإن معظم المواقع الصغيرة، بما في ذلك مواقع البيع الإلكتروني، والفرق الرياضية، والمنظمات السياسية وغيرها من الجماعات، معرضة هي الاخرى لمثل هذه العمليات.
غير انه طبقا لبحث «بلو سيكيوريتي» فإن «الملفات الشخصية» المعادية لم تتحول الى ظاهرة بعد.
وذكر رشيف انه يبدو ان بعض اصحاب مواقع الإنترنت التجارية، مثل المصارف الكبرى، على علم بهذه المشكلة. وهذه المواقع لا تسمح للاشخاص بالتسجيل باستخدام عناوينهم الإلكترونية. كما انها تطلب معلومات اضافية للتسجيل او للتذكرة بكلمة المرور، او تستخدم اجراءات أمنية اخرى.
* افشال الهجمات
* واخيرا فان هذه الطريقة يمكن ان تنفذ فقط اذا كان الموقع يبعث بردود فعل مختلفة للعناوين غير المسجلة او المسجلة. ومن العوامل التي تؤدي الى افشال مثل هذه الهجمات طلب المواقع الإلكترونية المشروعة تسجيل بيانات اخرى عدا العنوان الإلكتروني مثل رقم بطاقة الائتمان، عندها لن يتمكن المجرمون من تنفيذ مآربهم.
وكذلك تفشل مهمة العاملين في التصيّد الاحتيالي عند اتخاذ بعض الاجراءات الأمنية الاخرى، مثل طلب بعض المواقع الإلكترونية من الشخص الراغب في التسجيل حل لغز ما. ويتمثل حلم المواقع الإلكترونية في تصميم موقع على الإنترنت لا يمكن تسريب معلومات شخصية منه على الاطلاق.