اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار:

• حظر TikTok في الولايات المتحدة الأمريكية: الشركة تسعى للحصول على أمر قضائي طارئ لمنع ذلك.

• المهاجمون يستغلون Microsoft Teams وAny Desk لنشر البرمجيات الضارة DarkGate. 

• سرقة تفاصيل 5 ملايين بطاقة دفع في تذكير مؤلم بضرورة مراقبة الإنفاق خلال عيد الميلاد.

• تغريم Meta مبلغ 251 مليون يورو بسبب خرق البيانات، والذي أثر في 29 مليون حساب.

مخاطر وثغرات:

• Microsoft تُصلح” 72ثغرة” بما في ذلك تصحيح لثغرة CLFS المُستغلة.

• أصدرت شركة Ivanti تحديثات أمنية حرجة لمعالجة ثغرات في CSA وConnect Secure.

• أصدرت شركة Veeam تحديثًا لمعالجة ثغرة حرجة في وحدة التحكم لمزودي الخدمة Service Provider Console. 

• حذرت شركة Fortinet من ثغرة حرجة في FortiWLM قد تؤدي إلى استغلال الوصول إلى صلاحيات المسؤولين.

مؤشرات وإحصائيات:

• تقرير نظام المدفوعات من Visa لمكافحة الاحتيال – "تقرير التهديدات نصف السنوي من Visa".

معلومة أمنية:

• كيف يسرق قراصنة الإنترنت كلمات مرورك؟ 

شاهد:

• احذر طرق تصيدك عبر الإنترنت.

تعريفات:

• Skimmers

• eCommerce Threat Disruption – eTD

• RAT Remote Access Trojan 

• AutoIt 

• AutoHotkey 

• Accelerated Mobile Pages – AMP

• Amazon Simple Storage Service - Amazon S3

• Trend Micro

• AnyDesk 

• Rapid7

• Lumma Stealer

• نظام ملفات السجل المشترك (Common Log File System – CLFS)

• Hash-based Message Authentication Codes – HMAC

• LDAP (Lightweight Directory Access Protocol)

• Cloud Services Application - CSA 

حظر TikTok في الولايات المتحدة الأمريكية والشركة تسعى للحصول على أمر قضائي طارئ لمنع ذلك
 

10 ديسمبر 2024

طلبت TikTok إصدار أمر قضائي طارئ لوقف أو تأجيل الحظر المزمع على المنصة في الولايات المتحدة الأمريكية.

في مارس 2024، أقر مجلس النواب الأمريكي مشروع قانون يفرض حظرًا على TikTok في الولايات الأمريكية المتحدة الأمريكية ما لم توافق الشركة الصينية المالكة لها، " ByteDanc"، على التخلي عن حصتها في التطبيق الشهير.

تدعي TikTok أن هذا الإجراء يعد رقابة ويتعارض مع مبدأ حرية التعبير. ومع ذلك، تلقت منشورات الشركة على منصة "X" ردود فعل واسعة، من أشخاص يشكون من حظر حساباتهم على TikTok دون أسباب واضحة.

في 6 ديسمبر 2024، أيدت لجنة محكمة الاستئناف الفيدرالية بالإجماع القانون الذي يمنح شركة " ByteDance"، الشركة الأم TikTok، تسعة أشهر للتخلي عن ملكية التطبيق أو مواجهة الحظر في الولايات المتحدة الأمريكية. ومع اقتراب الموعد النهائي، ما لم توقف المحاكم هذا القرار، سيدخل الحظر حيز التنفيذ في 19 يناير 2025.

يرى المدافعون عن حرية التعبير أن الحظر ينتهك حقوق التعديل الأول المتعلقة بحرية التعبير، حيث سيشكل سابقة خطيرة. وأكد الاتحاد الأمريكي للحريات المدنية لوكالة رويترز أن الحظر قد يشكل تهديدًا كبيرًا لمبادئ حرية التعبير.  

"حظر TikTok ينتهك بشكل صارخ حقوق التعديل الأول لملايين الأمريكيين الذين يستخدمون هذا التطبيق للتعبير عن أنفسهم والتواصل مع الناس حول العالم."

منذ أن ادعى مسؤول تنفيذي سابق في شركة ByteDance، الشركة الأم TikTok، في وثائق المحكمة أن الحزب الشيوعي الصيني (CCP) لديه إمكانية الوصول إلى بيانات تيك توك، على الرغم من أن البيانات مخزنة في الولايات المتحدة الأمريكية، تعمل TikTok جاهدة لإقناع السياسيين بأنها تعمل بشكل مستقل عن ByteDance، التي تربطها علاقات عميقة بالحزب الشيوعي الصيني. 

في وقت مبكر من عام 2022، وصفت لجنة الاتصالات الفيدرالية (FCC) TikTok بأنه خطر أمني غير مقبول، ودعت إلى إزالته من متاجر التطبيقات، وذكرت أنها قدمت شكوى ضد TikTok و ByteDance إلى وزارة العدل؛ بسبب جمع معلومات شخصية من الأطفال دون موافقة الوالدين.

منذ عام 2020، حظرت عدة حكومات ومنظمات TikTok أو فكرت في حظره من على أجهزة موظفيها. 

وفي الوقت نفسه، تلقت TikTok أوامر بإغلاق مكاتبها في كندا بعد مراجعة أمنية وطنية. التطبيق محظور تمامًا بالفعل في India، Kyrgyzstan، Uzbekistan، Nepal، وSomalia.

وفقًا لـ TikTok، قد يؤدي الحظر إلى خسارة الشركات الصغيرة أكثر من مليار دولار من الإيرادات خلال شهر واحد فقط، في حين قد يخسر صانعو المحتوى حوالي 300 مليون دولار من الأرباح.

قدمت TikTok التماسًا يطلب من محكمة الاستئناف اتخاذ قرار بشأن الأمر القضائي بحلول 16 ديسمبر 2024.

المهاجمون يستغلون Microsoft Teams وAny Desk لنشر البرمجيات الضارة DarkGate 
 

17 ديسمبر 2024

حملة جديدة للهندسة الاجتماعية استغلت Microsoft Teams كوسيلة لتسهيل نشر برمجية خبيثة معروفة باسم DarkGate.

أفاد باحثو شركة Trend Micro (Catherine Loveria، Jovit Samaniego،Gabriel Nicoleta) "استخدم المهاجم الهندسة الاجتماعية عبر مكالمة في Microsoft Teams ليتنكر في شخصية عميل المستخدم، ويكتسب وصولًا عن بُعد إلى نظامه."

وأضافوا: "فشل المهاجم في تثبيت تطبيق Microsoft Remote Support، ولكنه نجح في إرشاد الضحية لتنزيل AnyDesk، وهي أداة تُستخدم عادة للوصول عن بُعد."

كما وثقت شركة الأمن السيبراني Rapid7 مؤخرًا، شمل الهجوم إرسال "آلاف الرسائل الإلكترونية" إلى صندوق بريد الضحية، وبعد ذلك اقترب المهاجمون منهم عبر Microsoft Teams متظاهرين بأنهم موظف من مورد خارجي.

ثم قام المهاجم بتوجيه الضحية لتثبيت AnyDesk على نظامهم، حيث تم استغلال الوصول عن بُعد لاحقًا لتسليم عدة حمولات خبيثة، بما في ذلك أداة لسرقة بيانات الاعتماد وبرمجية DarkGate الخبيثة.

تم استخدام DarkGate بشكل نشط منذ عام 2018، وهو حصان طروادة للوصول عن بُعد (remote access trojan - RAT) تطورت منذ ذلك الحين إلى عرض برمجيات خبيثة كخدمة (malware-as-a-service - MaaS) مع عدد محدود من العملاء. من بين قدراته المتنوعة، تشمل سرقة بيانات الاعتماد، تسجيل ضربات المفاتيح، التقاط الشاشة، تسجيل الصوت، والوصول إلى سطح المكتب عن بُعد.

أظهرت تحليلات لحملات DarkGate المختلفة خلال العام الماضي أنه يتم توزيعه عبر سلسلتين هجوميتين مختلفتين تستخدمان نصوصًا برمجية AutoIt وAutoHotKey. في الحادث الذي تم تحليله من قبل Trend Micro، تم نشر البرمجية الخبيثة عبر نصوص AutoIt.

على الرغم من أن الهجوم تم حظره قبل أن تتم أي أنشطة لاستخراج البيانات، فإن النتائج تشير إلى كيفية استخدام المهاجمين لمجموعة متنوعة من طرق الوصول الأولية لانتشار البرمجيات الخبيثة.

توصي المنظمات بتمكين المصادقة متعددة العوامل (multi-factor authentication - MFA)، وقبول أدوات الوصول عن بُعد المعتمدة فقط، وحظر التطبيقات غير المعتمدة، والتحقق بشكل دقيق من مزودي الدعم الفني من جهات خارجية للقضاء على خطر الاحتيال الصوتي (vishing).

يأتي هذا التطور في وقت يشهد زيادة في حملات التصيد الاحتيالي المختلفة التي استغلت العديد من الأساليب والخدع لخداع الضحايا للحصول على بياناتهم:

• حملة تصيد احتيالي واسعة النطاق موجهة نحو YouTube، حيث يتنكر المهاجمون في صورة علامات تجارية مشهورة، ويتواصلون مع منشئي المحتوى عبر البريد الإلكتروني من أجل العروض الترويجية المحتملة، واقتراحات الشراكة، وتعاون تسويقي، ويحثونهم على النقر على رابط لتوقيع اتفاقية، مما يؤدي في النهاية إلى نشر برنامج Lumma Stealer. يتم استخراج عناوين البريد الإلكتروني من قنوات YouTube.

• حملة "quishing" التي تستخدم رسائل البريد الإلكتروني الاحتيالية التي تحتوي على مرفق PDF يتضمن رمز الاستجابة السريع (QR code)، وعند مسحه، يوجه المستخدمين إلى صفحة تسجيل دخول مزيفة لـ Microsoft 365 لسرقة بيانات الاعتماد.

• هجمات التصيد الاحتيالي التي تستغل الثقة المرتبطة بصفحات Cloudflare Pages وWorkers لإنشاء مواقع مزيفة تحاكي صفحات تسجيل الدخول لـ Microsoft 365 وعمليات التحقق الوهمية باستخدام CAPTCHA لمراجعة أو تحميل مستند.

• هجمات التصيد الاحتيالي التي تستخدم مرفقات بريد إلكتروني بتنسيق HTML يتم تمويهها على أنها مستندات شرعية مثل الفواتير أو السياسات الإدارية، ولكنها تحتوي على كود JavaScript مدمجة لتنفيذ إجراءات خبيثة مثل إعادة توجيه المستخدمين إلى مواقع تصيد، وسرقة بيانات الاعتماد، وخداع المستخدمين لتنفيذ أوامر عشوائية تحت ستار إصلاح خطأ (مثل ClickFix).

• حملات التصيد الاحتيالي عبر البريد الإلكتروني التي تستغل منصات موثوقة مثل Docusign وAdobe InDesign وGoogle Accelerated Mobile Pages (AMP) لجعل المستخدمين ينقرون على روابط خبيثة تهدف إلى سرقة بيانات اعتمادهم.

• محاولات التصيد الاحتيالي التي تدعي أنها من فريق دعم Okta في محاولة للوصول إلى بيانات اعتماد المستخدمين واختراق أنظمة المنظمة.

• رسائل التصيد الاحتيالي التي تستهدف المستخدمين الهنود، وتوزع عبر WhatsApp وتوجه المستلمين لتثبيت تطبيق مصرفي أو خدمي خبيث لأجهزة Android قادر على سرقة المعلومات المالية.

المهاجمون معروفون أيضًا بسرعتهم في الاستفادة من الأحداث العالمية لصالحهم عن طريق دمجها في حملات التصيد الاحتيالي الخاصة بهم، غالبًا ما يتصيدون مشاعر الاستعجال وردود الفعل العاطفية للتلاعب بالضحايا وإقناعهم بالقيام بأفعال غير مقصودة. وتُدعم هذه الجهود أيضًا بتسجيل النطاقات التي تحتوي على كلمات رئيسة مرتبطة بالحدث.

أعلنت وحدة 42 من شركة Palo Alto Networks: "أن الأحداث العالمية البارزة، بما في ذلك البطولات الرياضية وإطلاق المنتجات، تجذب المجرمين السيبرانيين الذين يسعون للاستفادة من الاهتمام بالمصلحة العامة". وأضافوا: "يقوم هؤلاء المجرمون بتسجيل نطاقات خادعة تحاكي المواقع الرسمية لبيع سلع مقلدة وتقديم خدمات احتيالية."

"من خلال مراقبة مقاييس رئيسة مثل تسجيل النطاقات، والأنماط النصية، واختلالات نظام أسماء النطاقات DNS anomalies، واتجاهات طلبات التغيير، يمكن لفرق الأمان التعرف على التهديدات والتخفيف منها في وقت مبكر."

سرقة تفاصيل 5 ملايين بطاقة دفع في تذكير مؤلم بضرورة مراقبة الإنفاق خلال عيد الميلاد
 

17 ديسمبر 2024

تم تسريب 5 ملايين بطاقة ائتمان أمريكية وتفاصيل شخصية عبر الإنترنت. اكتشف فريق الأمان في Leakd.com أن 5 تيرابايت من لقطات الشاشة الحساسة تم الكشف عنها في حاوية Amazon S3 يمكن الوصول إليه بحرية.

حاوية S3 هي مثل مجلد ملفات افتراضي في السحابة، حيث يمكنك تخزين أنواع مختلفة من البيانات، مثل ملفات النصوص، والصور، والفيديوهات، والمزيد. لا يوجد حد لكمية البيانات التي يمكنك تخزينها في حاوية S3، ويمكن أن تصل أحجام الحالات الفردية إلى 5 تيرابايت.

في هذه الحالة، لا نعرف من يقف وراء التسريب، رغم أنه يبدو واضحًا من لقطات الشاشة أنها عملية تصيد احتيالي، وكانت معلومات بطاقات الائتمان والخصم هي البيانات التي كانوا يبحثون عنها. على الرغم من أنهم ربما لم يقصدوا مشاركتها مع العالم بأسره.

للأسف، عدم معرفة من ترك البيانات مكشوفة يجعل من الصعب سد الثغرة، لكن فريق AWS Abuse بدأ تحقيقًا بناءً على المعلومات المقدمة من Leakd.

المعلومات المسربة تحتوي على 5 تيرابايت من لقطات الشاشة، حيث قام الضحايا بإدخال تفاصيلهم على مواقع كانت تعرض " iPhoneمجانية" وهدايا عطلات مخفضة بشكل كبير.

 

عند النظر في كيفية تنظيم لقطات الشاشة هذه، هناك مصدران محتملان:

• برمجيات سرقة المعلومات، حيث إن العديد من برامج سرقة المعلومات قادرة على أخذ لقطات شاشة وتسميتها بطريقة تساعد المهاجمين على تتبع وتنظيم البيانات المسروقة.

• التصيد الاحتيالي باستخدام مواقع تم إعدادها خصيصًا لهذه المهمة، يبدو أن هذا هو السيناريو الأكثر احتمالًا، بسبب محتوى لقطات الشاشة.

   

كما يصفها Leakd.com:

"غالبًا ما كانت لقطات الشاشة المسربة تحتوي على حالات لمستخدمين يدخلون تفاصيلهم الشخصية والمالية في استمارات ترويجية تبدو بريئة."

تفاصيل بطاقة الدفع المسروقة أمر سيئ للغاية، حيث يمكن استخدامها في الاحتيال المالي، سرقة الهوية، وتسبب مشاكل في الخصوصية.

لكن التوقيت، قبل أسابيع فقط من عيد الميلاد، يجعل الأمر أسوأ.

لكن إذا كنت تشك في أن تفاصيل بطاقة الدفع الخاصة بك قد سُرِقت، فإليك الإجراءات الموصى بها:

• تحقق بانتظام من بيانات الحسابات وكشوف البطاقة وأبلغ مصرفك عن أي نشاط مريب.

• حيثما أمكن، قم بإعداد تنبيهات الاحتيال مع مصرفك أو مزود بطاقة الدفع الخاصة بك.

• غيّر كلمة المرور وفعّل المصادقة متعددة العوامل إذا لم تكن قد فعلت ذلك بالفعل.

• جمد رصيدك الائتماني، حتى لا يتمكن أي شخص من فتح حسابات جديدة باسمك.

إذا كنت لا تريد أن تصبح ضحية لهؤلاء المجرمين الإلكترونيين:

• لا تقع في فخ التصيد الاحتيالي. كن على دراية بالإشارات، ولا ترد على رسائل البريد الإلكتروني والرسائل النصية غير المرغوب فيها.

• ابتعد عن المواقع التي تقدم عروضًا تبدو جيدة لدرجة لا تصدق.

تغريم Meta مبلغ 251 مليون يورو بسبب خرق البيانات والذي أثر في 29 مليون حساب
 

  18 ديسمبر 2024

تغريم شركة Meta، الشركة الأم Facebook وInstagram وWhatsApp وThreads، مبلغ 251 مليون يورو (حوالي 263 مليون دولار) بسبب خرق بيانات في عام 2018 أثر في ملايين المستخدمين في الاتحاد الأوروبي، في أحدث ضربة مالية تتلقاها الشركة بسبب انتهاكها لقوانين الخصوصية الصارمة.

أفادت لجنة حماية البيانات الأيرلندية (Data Protection Commission - DPC) أن خرق البيانات أثر في حوالي 29 مليون حساب على فيسبوك عالميًّا، منها حوالي 3 ملايين حساب في الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية (European Union and European Economic Area – EEA). ومن الجدير بالذكر أن التقديرات الأولية من عملاق التكنولوجيا كانت قد حددت العدد الإجمالي للحسابات المتأثرة بـ 50 مليون حساب.

الحادث، الذي أعلنت عنه الشركة في سبتمبر 2018، نشأ بسبب خطأ تم إدخاله في أنظمة Facebook في يوليو 2017، مما سمح للمهاجمين المجهولين بالاستفادة من ميزة "View As" التي تسمح للمستخدم برؤية ملفه الشخصي كما لو كان شخصًا آخر.

مكّن هذا في النهاية من الحصول على رموز وصول الحسابات، مما سمح للمهاجمين باختراق حسابات الضحايا. شملت فئات البيانات الشخصية التي تأثرت نتيجة خرق الأمان أسماء المستخدمين الكاملة، وعناوين البريد الإلكتروني، وأرقام الهواتف، والموقع، وأماكن العمل، وتواريخ الميلاد، والدين، والجنس، والمنشورات على الخط الزمني، والمجموعات التي كانوا أعضاء فيها، وبيانات الأطفال الشخصية.

أعلنت لجنة حماية البيانات (DPC): "يمكن للمستخدم الذي يستخدم ميزة [View As] تفعيل محمل الفيديو بالاشتراك مع ميزة 'Happy Birthday Composer' على Facebook".

"ثم يقوم محمل الفيديو بإنشاء رمز مستخدم مع صلاحيات كاملة يمنحهم الوصول الكامل إلى ملف Facebook الشخصي لذلك المستخدم الآخر. بعد ذلك، يمكن للمستخدم استخدام هذا الرمز لاستغلال نفس المجموعة من الميزات على حسابات أخرى، مما يسمح لهم بالوصول إلى ملفات تعريف العديد من المستخدمين والبيانات المتاحة من خلالها."

كما أفادت هيئة مراقبة حماية البيانات أن المهاجمين استغلوا النصوص البرمجية لاستغلال الثغرة بين 14 و28 سبتمبر 2018، والحصول على وصول غير مصرح به إلى 29 مليون حساب Facebook عالميًا. ومنذ ذلك الحين، قامت Meta بإزالة الوظيفة التي تسببت في المشكلة.

تم فرض الغرامات بموجب انتهاك أربعة بنود مختلفة في قوانين خصوصية البيانات العامة (GDPR)، وهي المادة 33(3)، المادة 33(5)، المادة 25(1)، والمادة 25(2) وهي:

• عدم تضمين جميع المعلومات التي كان يجب أن تتضمنها في إشعار الخرق.

• عدم توثيق الحقائق المتعلقة بكل خرق، والخطوات التي تم اتخاذها لمعالجتها، وعدم القيام بذلك بطريقة تسمح للسلطة الإشرافية بالتحقق من الامتثال.

• عدم ضمان حماية مبادئ حماية البيانات في تصميم أنظمة المعالجة.

• عدم الوفاء بالتزاماتها كجهة تحكم لضمان معالجة البيانات الشخصية فقط التي تكون ضرورية لأغراض محددة.

قال نائب المفوض Graham Doyle في DPC: "تسلط هذه الإجراءات التنفيذية الضوء على كيفية أن الفشل في تضمين متطلبات حماية البيانات طوال دورة التصميم والتطوير يمكن أن يعرض الأفراد لمخاطر وأضرار خطيرة للغاية، بما في ذلك خطر المساس بالحقوق والحريات الأساسية للأفراد."

"من خلال السماح بالكشف غير المصرح به للمعلومات الشخصية، تسببت الثغرات التي أدت إلى هذا الخرق في خطر جسيم من إساءة استخدام هذه الأنواع من البيانات."

تعتبر هذه هي الغرامة الثانية من نوعها التي تفرضها DPC ضد Meta، التي تم تغريمها بمبلغ 91 مليون يورو (101.5 مليون دولار) في سبتمبر 2024؛ بسبب مشكلة أمنية في عام 2019 تتعلق بتخزين كلمات مرور المستخدمين بشكل غير مقصود بنصوص واضحة.

وتأتي هذه التطورات في وقت وافقت فيه Meta أيضًا على برنامج دفع بقيمة 50 مليون دولار أسترالي (31.5 مليون دولار أمريكي) للتسوية مع مكتب مفوض المعلومات الأسترالي (Office of the Australian Information Commissioner - OAIC) بشأن إساءة استخدام المعلومات الشخصية للمستخدمين في الاستهداف السياسي والإعلانات في أعقاب فضيحة Cambridge Analytica في عام 2018.

البرنامج متاح للأفراد الذين كانوا يحملون حسابًا على Facebook بين 2 نوفمبر 2013 و17 ديسمبر 2015؛ وكانوا موجودين في أستراليا لمدة تزيد على 30 يومًا خلال تلك الفترة؛ وقاموا إما بتثبيت تطبيق "This is Your Digital Life" أو كانوا أصدقاء على Facebook مع شخص قام بتثبيت التطبيق.

ويقال إن 53 مستخدمًا أستراليًّا على Facebook قد قاموا بتثبيت التطبيق، و 311,074 مستخدمًا قد يكون تم طلب معلوماتهم الشخصية من خلال التطبيق كأصدقاء لأولئك الذين قاموا بتحميله.

تقدم التسوية فئتين من المدفوعات: دفعة أساسية لأولئك الذين عانوا من القلق أو الإحراج العام بسبب التسريب، ودفعة محددة لأولئك الذين يمكنهم إثبات أنهم تكبدوا خسارة أو ضررًا. من المتوقع أن يقبل برنامج الدفع الطلبات رسميًا في الربع الثاني من عام 2025.

أعلنت Elizabeth Tydd، مفوضة المعلومات الأسترالية: "يمثل ذلك حلاً جوهريًا للقلق المتعلق بالخصوصية الذي أثارته قضية Cambridge Analytica، ويمنح الأستراليين المتأثرين المحتملين فرصة لطلب تعويض من خلال برنامج الدفع التابع لشركة Meta، ويضع حدًا لعملية قضائية طويلة."

Microsoft تُصلح 72” ثغرة” بما في ذلك تصحيح لثغرة CLFS المُستغلة 
 

11 ديسمبر 2024

أغلقت مايكروسوفت تحديثات يوم الثلاثاء الخاص بها لشهر ديسمبر 2024 بإصلاحات لإجمالي 72 ثغرة أمنية عبر مجموعة برامجها، بما في ذلك واحدة قالت إنها تم استغلالها.

من بين عدد 72 ثغرة، تم تصنيف 17 منها على أنها حرجة، و54 منها على أنها مهمة، وواحدة على أنها متوسطة في الخطورة. من بين هذه الثغرات، هناك 31 ثغرة تتعلق بتنفيذ التعليمات البرمجية عن بُعد، و27 منها تسمح بترقية الصلاحيات.

هذا بالإضافة إلى 13 ثغرة التي تمت معالجتها في متصفح Edge القائم على Chromium منذ إصدار تحديث الأمان في الشهر الماضي. إجمالاً، قامت Microsoft بحل ما يصل إلى 1,088 ثغرة في عام 2024 فقط، وفقًا لـ Fortra.

الثغرة التي اعترفت Microsoft بأنها تم استغلالها بنشاط هي CVE-2024-49138 درجة (CVSS: 7.8)، وهي ثغرة تصعيد الامتيازات في نظام ملفات السجل المشترك (Windows Common Log File System - CLFS).

أدلت الشركة في إشعار لها: "مهاجم نجح في استغلال هذه الثغرة قد يحصل على صلاحيات "SYSTEM، مشيرة إلى شركة الأمن السيبراني CrowdStrike لاكتشافها والإبلاغ عنها.

من الجدير بالذكر أن CVE-2024-49138 هي الخامسة التي تم استغلالها بنشاط في ثغرات ترقية الصلاحيات في CLFS منذ عام 2022 بعد CVE-2022-24521، CVE-2022-37969، CVE-2023-23376، وCVE-2023-28252 (درجات CVSS: 7.8). كما أنها الثغرة التاسعة في نفس المكون التي تم تصحيحها هذا العام.

أفاد Satnam Narang، مهندس البحث الأول في Tenable أنه "على الرغم من أن تفاصيل الاستغلال غير معروفة بعد، فإنه من المثير للاهتمام بالنظر إلى تاريخ ثغرات برنامج تشغيل CLFS، فمن المثير للاهتمام ملاحظة أن مشغلي برامج الفدية قد طوروا اتجاهاتهم لاستغلال ثغرات رفع امتيازات في CLFS على مدار السنوات القليلة الماضية".

وأضاف: "على عكس مجموعات التهديدات المتقدمة المستمرة التي تركز عادةً على الدقة والصبر، فإن مشغلي برامج الفدية والشركاء يركزون على تكتيك الهجوم السريع والاستيلاء على الهدف بأي وسيلة ضرورية. من خلال استخدام ثغرات رفع الامتيازات مثل هذه في CLFS، يمكن لشركاء برامج الفدية التحرك عبر الشبكة لسرقة البيانات وتشفيرها وبدء ابتزاز ضحاياهم."

لم تغفل Microsoft عن حقيقة أن CLFS أصبح مسارًا جذابًا للهجمات من قبل الفاعلين الخبيثين، حيث أعلنت أنها تعمل على إضافة خطوة تحقق جديدة عند تحليل مثل هذه الملفات.

"بدلاً من محاولة التحقق من القيم الفردية في هياكل بيانات ملف السجل، يوفر هذا التخفيف الأمني لـ CLFS القدرة على اكتشاف متى تم تعديل ملفات السجل بواسطة شيء آخر غير برنامج تشغيل CLFS نفسه"، كما ذكرت Microsoft في أواخر أغسطس 2024. "تم تحقيق ذلك من خلال إضافة رموز التوثيق المعتمد على التجزئة (Hash-based Message Authentication Codes – HMAC) إلى نهاية ملف السجل."

منذ ذلك الحين، أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (Cybersecurity and Infrastructure Security Agency - CISA) الثغرة إلى دليل الثغرات المستغلة المعروفة (Known Exploited Vulnerabilities - KEV)، مطالبة الوكالات الفيدرالية للفرع التنفيذي المدني (Federal Civilian Executive Branch – FCEB) بتطبيق الإصلاحات اللازمة بحلول 31 ديسمبر 2024.

الثغرة الأكثر خطورة في إصدار هذا الشهر هي ثغرة تنفيذ التعليمات البرمجية عن بُعد التي تؤثر في بروتوكول الوصول إلى الدليل الخفيف في ويندوز (Lightweight Directory Access Protocol – LDAP). يتم تتبعها على أنها CVE-2024-49112 درجة (CVSS: 9.8).

وصرحت Microsoft : "يمكن لمهاجم غير مصادق عليه نجح في استغلال هذه الثغرة قد يتمكن من تنفيذ التعليمات البرمجية من خلال مجموعة معدة خصيصًا من استدعاءات LDAP  لتنفيذ تعليمات برمجية عشوائية ضمن سياق خدمة ."LDAP

من الجدير بالذكر أيضًا وجود ثلاث ثغرات أخرى لتنفيذ التعليمات البرمجية عن بُعد تؤثر على Windows Hyper-V (CVE-2024-49117، درجة CVSS: 8.8)، وعميل سطح المكتب البعيد Remote Desktop Client (CVE-2024-49105، درجة CVSS: 8.4)، وMicrosoft Muzic (CVE-2024-49063، درجة CVSS: 8.4).

يأتي هذا التطور في الوقت الذي أصدرت فيه 0patch إصلاحات غير رسمية لثغرة يوم الصفر في Windows تسمح للمهاجمين باختراق بيانات اعتماد (NT LAN Manager NTLM). تم حجب التفاصيل الإضافية حول الثغرة، حتى يتوافر تصحيح رسمي.

وأفاد Mitja Kolsek: "تسمح الثغرة للمهاجم بالحصول على بيانات اعتماد NTLM  الخاصة بالمستخدم بمجرد أن يرى المستخدم ملفًا خبيثًا في مستعرض Windows Explorer – على سبيل المثال، عن طريق فتح مجلد مشترك أو قرص USB يحتوي على مثل هذا الملف، أو مشاهدة مجلد التنزيلات، حيث تم تنزيل الملف تلقائيًا من صفحة الويب الخاصة بالمهاجم."

في أواخر شهر أكتوبر 2024، تم أيضًا إصدار تصحيحات غير رسمية مجانية لمعالجة ثغرة يوم الصفر في Windows Themes التي تسمح للمهاجمين بسرقة بيانات اعتماد NTLM عن بُعد.

كما أصدرت 0patch تصحيحات دقيقة لثغرة أخرى كانت غير معروفة سابقًا في خوادم Windows 2012 و2012 R2 التي تسمح للمهاجم بتجاوز حماية "علامة الويب" (Mark-of-the-Web - MotW) على أنواع معينة من الملفات. ويعتقد أن المشكلة تم تقديمها قبل أكثر من عامين.

نظرًا لاستغلال NTLM بشكل واسع عبر هجمات التتابع و"تمرير التجزئة pass-the-hash attacks"، أعلنت Microsoft عن خططها لإيقاف بروتوكول المصادقة القديم لصالح Kerberos.  علاوة على ذلك، اتخذت خطوة تمكين حماية موسعة للمصادقة (Extended Protection for Authentication – EPA) بشكل افتراضي للتثبيتات الجديدة والقائمة لـ Exchange 2019.

صرحت Microsoft أنها قامت بإطلاق تحسين أمني مماثل لخدمات شهادة دليل (Azure Directory Certificate Services - AD CS) عن طريق تمكين EPA بشكل افتراضي مع إصدار Windows Server 2025، الذي يزيل أيضًا الدعم لـ NTLM v1 ويوقف دعم NTLM v2. تنطبق هذه التغييرات أيضًا على Windows 11 24H2.

وأضاف فريق الأمان في Redmond في وقت سابق من هذا الأسبوع: "بالإضافة إلى ذلك، كجزء من نفس إصدار Windows Server 2025، تم تمكين ربط القناة بشكل افتراضي في LDAP. "هذه التحسينات الأمنية تخفف من خطر هجمات ترحيل NTLM بشكل افتراضي عبر ثلاث خدمات محلية: خادم Exchange، خدمات شهادة Active Directory (AD CS) ، وLDAP."

" مع تقدمنا نحو تعطيل NTLM بشكل افتراضي، فإن التغييرات الفورية والقصيرة المدى، مثل تمكين EPA في Exchange Server وAD CS وLDAP، تعزز موقف 'الأمان الافتراضي' وتحمي المستخدمين من الهجمات الواقعية."

أصدرت شركة Ivanti تحديثات أمنية حرجة لمعالجة ثغرات في CSA وConnect Secure
 

11 ديسمبر 2024


 
  

أصدرت شركة Ivanti تحديثات أمنية لمعالجة العديد من الثغرات الأمنية الحرجة في تطبيق خدمات السحابة (Cloud Services Application - CSA) ومنتجات Connect Secure، والتي قد تؤدي إلى تصعيد الصلاحيات وتنفيذ التعليمات البرمجية.

قائمة الثغرات هي كما يلي:

• CVE-2024-11639 (درجة CVSS: 10.0): ثغرة تجاوز المصادقة في وحدة التحكم الإدارية لـ CSA قبل الإصدار 5.0.3، تسمح لمهاجم عن بُعد غير مصادق بالحصول على وصول إداري.  

• CVE-2024-11772 (درجة CVSS: 9.1): ثغرة حقن الأوامر في وحدة التحكم الإدارية لـ CSA قبل الإصدار 5.0.3، تسمح لمهاجم عن بُعد مصادق لديه صلاحيات إدارية بتنفيذ تعليمات برمجية عن بُعد.  

• CVE-2024-11773 (درجة CVSS: 9.1): ثغرة حقن SQL في وحدة التحكم الإدارية لـ CSA قبل الإصدار 5.0.3، تسمح لمهاجم بعيد مصادق لديه صلاحيات إدارية بتنفيذ استعلامات SQL عشوائية.  

• CVE-2024-11633 (درجة CVSS: 9.1): ثغرة حقن في Connect Secure قبل الإصدار 22.7R2.4، تسمح لمهاجم بعيد مصادق لديه صلاحيات إدارية بتنفيذ تعليمات برمجية عن بُعد.  

• CVE-2024-11634 (درجة CVSS: 9.1): ثغرة حقن الأوامر في Connect Secure قبل الإصدار 22.7R2.3 وPolicy Secure قبل الإصدار 22.7R1.2، تسمح لمهاجم بعيد مصادق لديه صلاحيات إدارية بتنفيذ تعليمات برمجية عن بُعد.  

• CVE-2024-8540 (درجة CVSS: 8.8): ثغرة ضعف الأذونات في Sentry قبل الإصدارات 9.20.2 و10.0.2 أو 10.1.0، تسمح لمهاجم محلي مصادق بتعديل مكونات حساسة للتطبيق.

تمت معالجة القصور في الإصدارات التالية:

• Ivanti Cloud Services Application 5.0.3 

• Ivanti Connect Secure 22.7R2.4 

• Ivanti Policy Secure 22.7R1.2 

• Ivanti Sentry 9.20.2, 10.0.2, و10.1.0

على الرغم من أن شركة Ivanti أكدت أنها ليست على علم بأي استغلال نشط للثغرات المذكورة أعلاه، فإنه من الضروري أن يتخذ المستخدمون إجراءات سريعة، نظرًا لأن العديد من الثغرات السابقة في منتجاتها استُغلت من قبل مهاجمين مدعومين من دول لتنفيذ أنشطة خبيثة.

أصدرت شركة Veeam تحديثًا لمعالجة ثغرة حرجة في وحدة التحكم لمزودي الخدمة Service Provider Console
 

4 ديسمبر 2024

أصدرت شركة Veeam تحديثات أمان لمعالجة ثغرة أمنية حرجة تؤثر في وحدة التحكم لمزودي الخدمة (Service Provider Console - VSPC)، والتي يمكن أن تتيح تنفيذ تعليمات برمجية عن بُعد (RCE) على الأنظمة المتأثرة.

الثغرة الأمنية، التي تم تتبعها باسم CVE-2024-42448، حصلت على درجة 9.9 من أصل 10.0 وفقًا لمقياس CVSS.  وأشارت الشركة إلى أن هذه الثغرة تم اكتشافها خلال اختبارات داخلية.

وأوضحت Veeam في تنبيه أمني:  
"من جهاز VSPC management agent، وفي حالة مصادقته للخادم، يمكن تنفيذ تعليمات برمجية عن بُعد (Remote Code Execution - RCE) على جهاز خادم VSPC".

تم تصحيح عيب آخر بواسطة Veeam يتعلق بثغرة أمنية CVE-2024-42449، بدرجة (CVSS: 7.1) يمكن استغلالها لتسريب NTLM hash لحساب خدمة خادم VSPC وحذف الملفات على جهاز خادم VSPC.

تؤثر الثغرتان المكتشفتان على وحدة التحكم لمزودي الخدمةVeeam Service Provider Console الإصدار 8.1.0.21377 وجميع الإصدارات السابقة من الإصدارات 7 و8. وتمت معالجتها في الإصدار 8.1.0.21999.

كما أكدت Veeam أنه لا توجد حلول تخفيفية لهذه المشكلات، وأن الحل الوحيد هو الترقية إلى أحدث إصدار من البرنامج.

نظرًا لاستغلال الثغرات الأمنية في منتجات Veeam من قبل الجهات المهددة لنشر برمجيات الفدية، فإنه من الضروري أن يتخذ المستخدمون الإجراءات اللازمة لتأمين أنظمتهم في أسرع وقت ممكن.

حذرت شركة Fortinet من ثغرة حرجة في FortiWLM قد تؤدي إلى استغلال الوصول إلى صلاحيات المسؤولين
 

19 ديسمبر 2024

أصدرت شركة Fortinet تحذيرًا بشأن ثغرة أمنية حرجة تم إصلاحها مؤخرًا تؤثر في مدير الشبكة اللاسلكية Wireless LAN Manager (FortiWLM)، والتي قد تؤدي إلى الكشف عن معلومات حساسة.

تُتبع الثغرة برمز CVE-2023-34990، وتحمل درجة CVSS تبلغ 9.6 من أصل 10.0. تم إصلاحها في الأصل من قبل Fortinet في 18 أغسطس 2023، ولكن دون تسمية CVE. تم تحديث قائمة إصدارات FortiOS المدعومة في أوائل سبتمبر 2024.

وصرحت الشركة في تنبيه: "قد تسمح ثغرة في التنقل عبر المسار النسبي [CWE-23] في FortiWLM  لمهاجم عن بُعد غير مصادق عليه بقراءة الملفات الحساسة."

ومع ذلك، وفقًا لوصف الثغرة الأمنية في قاعدة بيانات الثغرات الوطنية (National Vulnerability Database - NVD) التابعة للمعهد الوطني للمعايير والتقنية (NIST)، يمكن أيضًا استغلال ثغرة التنقل عبر المسار من قبل مهاجم "لتنفيذ تعليمات برمجية أو أوامر غير مصرح بها عبر طلبات ويب معدة خصيصًا."

تؤثر الثغرة في الإصدارات التالية من المنتج:

·        إصدارات FortiWLM من 8.6.0 إلى 8.6.5 (تم إصلاحها في 8.6.6 أو أحدث)

·        إصدارات FortiWLM من 8.5.0 إلى 8.5.4 (تم إصلاحها في 8.5.5 أو أحدث)

وأشادت الشركة بالباحث الأمني Zach Hanley في Horizon3.ai لاكتشافه والإبلاغ عن الثغرة. ومن الجدير بالذكر هنا أن CVE-2023-34990 تشير إلى "ثغرة قراءة الملفات المحدودة غير المصادق عليها" التي كشفت عنها شركة الأمن السيبراني في مارس 2024 كجزء من مجموعة أوسع تضم ست ثغرات في FortiWLM.

أفاد Hanley في ذلك الوقت: "تسمح هذه الثغرة للمهاجمين عن بُعد وغير المصادق عليهم بالوصول إلى واستخدام الوظائف المدمجة المخصصة لقراءة ملفات السجل المحددة على النظام عبر طلب مُعد خصيصًا إلى نقطة النهاية /ems/cgi-bin/ezrf_lighttpd.cgi".

وأضاف: "تنجم هذه المشكلة عن غياب التحقق من صحة المدخلات على معلمات الطلب، مما يسمح للمهاجم بالتنقل عبر الأدلة وقراءة أي ملف سجل على النظام."

يمكن أن يؤدي الاستغلال الناجح لـ CVE-2023-34990 إلى تمكين المهاجم من قراءة ملفات السجل الخاصة بـ FortiWLM والحصول على معرف الجلسة لمستخدم وتسجيل الدخول، مما يتيح لهم استغلال نقاط النهاية المصادق عليها أيضًا.

ولزيادة الأمور تعقيدًا، يمكن للمهاجمين الاستفادة من حقيقة أن معرفات جلسات الويب ثابتة بين جلسات المستخدم لاختطافها والحصول على أذونات إدارية للجهاز.

ولكن هذا ليس كل شيء. يمكن للمهاجم أيضًا دمج CVE-2023-34990 مع CVE-2023-48782 درجة (CVSS: 8.8)، وهي ثغرة في حقن الأوامر المصادق عليها التي تم إصلاحها أيضًا في FortiWLM 8.6.6، للحصول على تنفيذ تعليمات برمجية عن بُعد في سياق الحساب الرئيس root.

تم إصلاح ثغرة منفصلة من قبل Fortinet تتعلق بحقن أوامر نظام التشغيل في FortiManager، وهي ثغرة عالية الخطورة قد تسمح لمهاجم مصادق عليه عن بُعد بتنفيذ تعليمات برمجية غير مصرح بها عبر طلبات مصممة بواسطة FGFM.

تمت معالجة الثغرة (CVE-2024-48889، درجة CVSS: 7.2) في الإصدارات التالية:

• FortiManager 7.6.0 (تم إصلاحها في 7.6.1 أو أحدث)

• إصدارات FortiManager من 7.4.0 إلى 7.4.4 (تم إصلاحها في 7.4.5 أو أحدث)

• إصدارات FortiManager Cloud من 7.4.1 إلى 7.4.4 (تم إصلاحها في 7.4.5 أو أحدث)

• إصدارات FortiManager من 7.2.3 إلى 7.2.7 (تم إصلاحها في 7.2.8 أو أحدث)

• إصدارات FortiManager Cloud من 7.2.1 إلى 7.2.7 (تم إصلاحها في 7.2.8 أو أحدث)

• إصدارات FortiManager من 7.0.5 إلى 7.0.12 (تم إصلاحها في 7.0.13 أو أحدث)

• إصدارات FortiManager Cloud من 7.0.1 إلى 7.0.12 (تم إصلاحها في 7.0.13 أو أحدث)

• إصدارات FortiManager من 6.4.10 إلى 6.4.14 (تم إصلاحها في 6.4.15 أو أحدث)

   

كما أشارت Fortinet إلى أن عددًا من النماذج القديمة، مثل 1000E و1000F و2000E و3000E و3000F و3000G و3500E و3500F و3500G و3700F و3700G و3900E، تتأثر بثغرة CVE-2024-48889 بشرط تمكين "fmg-status".

نظرًا لأن أجهزة Fortinet أصبحت هدفًا رئيسًا للمهاجمين، فمن الضروري أن يحرص المستخدمون على تحديث نسخهم لضمان الحماية من التهديدات المحتملة.

تقرير نظام المدفوعات من Visa لمكافحة الاحتيال – "تقرير التهديدات نصف السنوي من Visa"

اكتشافات برامج التزوير في مواقع التسوق
التوزيع حسب المنطقة - يناير- يونيو 2024

• يقدم التقرير نظرة عامة على أهم التهديدات التي تواجه نظام الدفع خلال فترة الأشهر من يناير إلى يونيو 2024، كما تم تحديدها من خلال تعطيل الاحتيال في المدفوعات لدى فيزاVisa Payment Fraud Disruption - PFD.

• تُعد هجمات الاختلاس الرقمي واحدة من أكثر التهديدات استمرارية وانتشارًا في نظام المدفوعات. في هجمات الاختلاس الرقمي، يقوم المهاجمون بنشر تعليمات برمجية ضارة على صفحة الدفع لموقع تجاري في محاولة لسرقة بيانات حسابات الدفع والمعلومات الشخصية القابلة للتعريف (personally identifiable information – PII)، مثل رقم الحساب الأساسي (primary account number – PAN)، وقيمة التحقق من البطاقة (card verification value - CVV2)، وتاريخ الانتهاء، التي يتم إدخالها في نماذج الدفع من قبل عملاء التاجر.

• تكافح Visa PFD هجمات التزوير الرقمي من خلال إمكانية تعطيل تهديد التجارة الإلكترونية (eCommerce Threat Disruption - eTD)، حيث تقوم بفحص صفحات الويب الخاصة بالتجارة الإلكترونية بحثًا عن أي توقيع رقمي معروف أو بصمة لبرامج الاحتيال الرقمية أو التعليمات البرمجية الضارة، وتنبه المشتري أو مشرف الموقع أو التاجر المتأثر بالاختراق المحتمل.

• كما تعمل eTD أيضًا مع مقدمي البنية التحتية للمواقع الإلكترونية لإزالة البرمجيات الخبيثة من صفحة التاجر المتضررة قبل أن تتم سرقة بيانات حساب الدفع إذا تم التعرف على برامج احتيال skimmers. يتم توزيع الأرقام الحسابية المعرضة للخطر التي تم التعرف عليها في هذه الهجمات على المصدرين المتأثرين من خلال تنبيهات نظام إدارة الحسابات المخترقة (CAMS).

• على مدار الأشهر من يناير إلى يونيو 2024، ظل عدد المواقع الإلكترونية المخترقة التي اكتشفتها eTD ثابتًا. ومع ذلك، لاحظت اتجاهًا تنازليًّا في العدد الإجمالي لبرامج الاحتيال skimmers الذين تم التعرف عليهم شهريًّا على مدار الـ 12 شهرًا.

• كما حدد فريق التحقيقات العالمية للمخاطر التابع لقسم حماية البيانات في Visa PFD (GRI) اتجاهًا تنازليًّا طفيفًا في عمليات الاحتيال الرقمي، حيث كانت الحالات المفتوحة رسميًّا تمثل انخفاضًا بنسبة 3% مقارنة بالأشهر من يوليو إلى ديسمبر 2023، ولكنها كانت بزيادة بنسبة 5%، مقارنة بالفترة نفسها من يناير إلى يونيو 2023.

• حددت eTD منطقة أمريكا الشمالية كأكثر المناطق المستهدفة على مستوى العالم، حيث حدث 51% من الاكتشافات على تجار في أمريكا الشمالية، كما هو موضح في الشكل السابق. واحتلت منطقة أوروبا المرتبة الثانية من حيث عدد المواقع الإلكترونية المخترقة التي تم تحديدها.

كيف يسرق قراصنة الإنترنت كلمات مرورك؟ 

كابوس رقمي: التعرض غير المرغوب فيه

كانت ليزا، مصممة الجرافيك ذات الموهبة في الإبداع، تعيش جزءًا كبيرًا من حياتها على الإنترنت. كانت تدير حساباتها المصرفية، وتقوم بالتسوق، وتتعامل مع تفاعلاتها الاجتماعية عبر العديد من التطبيقات والمواقع الإلكترونية. في يوم من الأيام، لاحظت بعض السحوبات الغريبة من حسابها المصرفي - عناصر لم تشترها أبدًا من متاجر لم تزورها من قبل. ثم بدأت حساباتها على وسائل التواصل الاجتماعي بنشر رسائل غير مرغوب فيها تروج لمنتجات وخدمات غريبة، وأفاد الأصدقاء بتلقيهم رسائل بريد إلكتروني غير عادية منها.

حل الذعر على ليزا عندما أدركت أنها فقدت السيطرة على هويتها الرقمية. تم تسريب صورها الشخصية، وكشفت محادثاتها الخاصة. بدأ العملاء في التشكيك في موثوقيتها، وتعرضت سمعتها للضرر. بعد استشارة خبراء في الأمن السيبراني، اكتشفت ليزا أن كلمات مرورها قد تم اختراقها. تمكن المجرمون السيبرانيون من الوصول إلى حساباتها الحساسة؛ مما أدى إلى تفكيك عالمها الرقمي قطعة قطعة. وظل السؤال قائمًا: كيف حدث هذا؟

أساليب المجرمين السيبرانيين الماكرة: خمس طرق شائعة

يستخدم المهاجمون السيبرانيون مجموعة متنوعة من الأساليب لاستخلاص كلمات المرور. وفيما يلي خمس طرق شائعة قد يحصلون من خلالها على كلمات مرورك كما فعلوا مع ليزا:

• هجمات الهندسة الاجتماعية Social Engineering Attacks
  
  الهندسة الاجتماعية، هي حيث يتنكر المهاجمون في صورة شخص أو شيء تعرفه أو تثق به، ويخدعونك للقيام بشيء لا ينبغي عليك فعله. يرسلون رسائل بريد إلكتروني أو رسائل تبدو شرعية، غالبًا ما يخلقون شعورًا قويًّا بالعجلة أو الخوف أو الفضول.
  
  كيف حدث ذلك: تلقت ليزا بريدًا إلكترونيًا بدا وكأنه من بنكها، مع شعارات وعلامات تجارية رسمية. ادعى البريد الإلكتروني أن هناك نشاطًا مشبوهًا في حسابها وحثها على النقر على رابط للتحقق من هويتها. أدى الرابط إلى موقع مزيف التقط بيانات تسجيل الدخول الخاصة بها عندما أدخلتها.

   

• البرمجيات الخبيثة Malware
  
  البرمجيات الخبيثة هي برامج ضارة تهدف إلى إصابة الأجهزة. بمجرد الإصابة، يمكن للمجرمين السيبرانيين القيام بما يريدون. من أنواع البرمجيات الخبيثة هي برامج تسجيل المفاتيح (والتي تسمى أحيانًا "سرّاق المعلومات")، التي تقوم بتسجيل كل ضغطة مفتاح على الجهاز، بما في ذلك تسجيل الدخول وكلمات المرور والبيانات الحساسة الأخرى.
  
  كيف حدث ذلك: قامت ليزا بتحميل حزمة خطوط اعتقدت أنها حزمة خطوط شرعية لعملها في التصميم. كان هناك برنامج تسجيل مفاتيح مخفي داخل الحزمة قام بتثبيت نفسه على جهازها. ومع مرور الوقت، قام بتسجيل تفاصيل تسجيل الدخول لحساباتها المختلفة، وأرسلها إلى المهاجم.

   

• هجمات القوة الغاشمة Brute Force Attacks
  
  في هجمات القوة الغاشمة، يستخدم المهاجمون أدوات آلية لتجربة العديد من التركيبات لكلمات المرور، حتى يخمنوا الكلمة الصحيحة. كلمات المرور الضعيفة تكون عرضة بشكل خاص لهذه الطريقة.
  
  كيف حدث ذلك: استخدمت ليزا كلمات مرور بسيطة مثل "lisa2020" للعديد من حساباتها. استخدم المهاجمون برامج اختبرت كلمات المرور الشائعة بشكل منهجي، وكسروا حساباتها بسهولة.

   

• خرقات البيانات Data Breaches
  
  عندما يتم اختراق موقع ويب أو خدمة، قد يؤثر ذلك على حسابات الجميع المخزنة على الخادم. إذا كان شخص ما يستخدم نفس كلمة المرور لعدة حسابات، فعندما يتم اختراق تلك الكلمة لحساب واحد، يمكن استخدامها للوصول إلى الحسابات الأخرى للضحية أيضًا.
  
  كيف حدث ذلك: تعرضت منصة وسائط اجتماعية شهيرة كانت ليزا تستخدمها لخرق بيانات؛ نظرًا لأنها كانت تستخدم نفس كلمة المرور في أماكن أخرى، تمكن المهاجمون من الوصول إلى حساباتها الأخرى باستخدام بيانات الاعتماد المسرّبة.

   

• شراء بيانات الاعتماد Purchased Credentials
  
  يمكن للمجرمين السيبرانيين ببساطة شراء كلمات مرورك على الإنترنت، وغالبًا على الويب المظلم Dark Web. يتخصص بعض المجرمين السيبرانيين في سرقة كلمات مرور الضحايا باستخدام أي من الأساليب التي ناقشناها حتى الآن. ثم يخزنون ويبيعون كلمات المرور المسروقة لمجرمين سيبرانيين آخرين.
  
  كيف حدث ذلك: قرر مجرم سيبراني أنه يريد جني أكبر قدر ممكن من المال في عطلة نهاية الأسبوع، فذهب إلى الويب المظلم، وشراء أكثر من 10,000 حساب مخترق مع كلمات مرورها الكاملة. كان أحد حسابات ليزا موجودًا في تلك القائمة.

ثلاث خطوات رئيسة يمكنك اتخاذها
    لحسن الحظ، من خلال اتخاذ ثلاث خطوات بسيطة، يمكنك أن تذهب بعيدًا في حماية حساباتك وحياتك الرقمية على الإنترنت:

• استخدم كلمة مرور طويلة وفريدة لكل حساب من حساباتك. نوصي باستخدام عبارات المرور، وهي كلمات مرور طويلة تتكون من عدة كلمات.

• استخدم مدير كلمات مرور password manager لتخزين وإدارة جميع كلمات المرور الخاصة بك بشكل آمن.

• فعّل التوثيق متعدد العوامل (Multi-Factor Authentication - MFA) كلما كان ذلك ممكنًا لأهم حساباتك على الإنترنت.

• احذر طرق تصيدك عبر الإنترنت

• Skimmers:

  يقوم بتسجيل تفاصيل بطاقة الائتمان أو حساب البنك لشخص ما، بحيث يمكن استخدام حسابه البنكي بشكل غير قانوني (المصدر).

   

• eCommerce Threat Disruption – eTD:

  ميزة eTD فحص صفحات الويب الخاصة بالتجار الإلكترونيين بحثًا عن أي توقيع رقمي معروف أو أثر لبرامج التزوير الرقمي الضارة أو التعليمات البرمجية الخبيثة، وتنبه المشتري أو مشرف الموقع أو التاجر الخاص المتأثر بالاختراق المحتمل (المصدر).

   

• RAT Remote Access Trojan -
  حصان طروادة للوصول عن بعد: هو برنامج ضار يستخدمه المهاجم للحصول على امتيازات إدارية كاملة والتحكم عن بُعد في جهاز الكمبيوتر المستهدف. غالبًا ما يتم تنزيل RATs مع برامج تبدو مشروعة يطلبها المستخدمون - مثل ألعاب الفيديو - أو يتم إرسالها إلى هدفها كملف مرفق بالبريد الإلكتروني عبر رسالة بريد إلكتروني احتيالية (المصدر).

   

• AutoIt:

  هي لغة برمجة مفتوحة المصدر لنظام التشغيل Windows. وهي لغة برمجة نصية شبيهة بلغة BASIC مصممة لأنظمة واجهة مستخدم Microsoft Windows. تستخدم AutoIt مجموعة من ضغطات المفاتيح المحاكاة وحركة الماوس والتلاعب بالنوافذ من أجل إجراء اختبار واجهة المستخدم (المصدر).

   

• AutoHotkey:

  هي لغة برمجة نصية تتيح للمستخدمين أنظمة المهام على جهاز كمبيوتر يعمل بنظام Windows. ويمكنها محاكاة ضغطات المفاتيح وحركات الماوس والتلاعب بالنوافذ وعناصر التحكم. ومن خلال كتابة البرامج النصية، يمكن للمستخدمين إنشاء اختصارات مخصصة وأتمتة المهام المتكررة وتعزيز الإنتاجية. يتم تخزين نصوص AutoHotkey كملفات نصية عادية بامتداد "ahk" (المصدر).

• Accelerated Mobile Pages – AMP:

  هو مشروع مفتوح المصدر يهدف إلى تحسين شبكة الويب المحمولة من خلال توفير إطار عمل لبناء صفحات المحتوى التي يتم تحميلها بسرعة باستمرار. يتم تحميل صفحة AMP المتوسطة في أقل من ثانية واحدة من بحث Google، وبسبب هذا، شهد الناشرون زيادة في حركة المرور والوقت المستغرق في الصفحة (المصدر).

   

• Amazon Simple Storage Service - Amazon S3:

  هي خدمة تخزين سحابية عالية السرعة وقابلة للتطوير ومبنية على الويب. تم تصميم الخدمة للنسخ الاحتياطي عبر الإنترنت وأرشفة البيانات والتطبيقات على Amazon Web Services (AWS). تم تصميم Amazon S3 بمجموعة بسيطة من الميزات، وتم إنشاؤها لتسهيل الحوسبة على نطاق الويب للمطورين (المصدر).

• Trend Micro:

  هي شركة تقدم خدمات الأمن السيبراني. تقوم الشركة بتطوير وتسويق حلول أمن محتوى الإنترنت والكمبيوتر وإدارة التهديدات. تتضمن مجموعة منتجاتها برامج الأمان وأمن الشبكات والويب وأمن الأجهزة المحمولة ومنتجات مكافحة البريد العشوائي (المصدر).

   

• AnyDesk:

  هو برنامج سطح مكتب يتيح للمستخدمين الوصول إلى أجهزة الكمبيوتر والتحكم فيها عن بُعد، مما يسمح بالدعم الفعّال والتعاون وإدارة مهام تكنولوجيا المعلومات من أي مكان. تم إطلاق AnyDesk في عام 2014، وسرعان ما أصبح خيارًا شائعًا للأفراد والشركات على حدٍ سواء، وهو معروف بسرعته وأمانه وسهولة استخدامه (المصدر).

   

• :Rapid7

  هي شركة متخصصة في الأمن السيبراني تقدم مجموعة واسعة من حلول وخدمات الأمن لمساعدة المؤسسات على تحديد نقاط الضعف والتهديدات الأمنية وإعطائها الأولوية والتخفيف من حدتها. تقدم الشركة مجموعة متنوعة من المنتجات والخدمات، مع التركيز على إدارة نقاط الضعف واكتشاف الحوادث والاستجابة لها وتحليلات الأمان (المصدر).

   

• Lumma Stealer:

  هو سارق معلومات مكتوب بلغة C ومتاح من خلال نموذج Malware-as-a-Service (MaaS) على المنتديات الناطقة باللغة الروسية منذ أغسطس 2022 على الأقل. يُعتقد أنه تم تطويره بواسطة الجهة الفاعلة المهددة "Shamel"، التي تستخدم الاسم المستعار "Lumma". يستهدف Lumma Stealer في المقام الأول محافظ العملات المشفرة وملحقات المتصفح ذات المصادقة الثنائية (2FA)، قبل سرقة المعلومات الحساسة في النهاية من جهاز الضحية. بمجرد الحصول على البيانات المستهدفة، يتم استخراجها إلى خادم C2 عبر طلبات HTTP POST باستخدام وكيل المستخدم "TeslaBrowser/5.5". يتميز السارق أيضًا بمحمل بيانات غير مقيم non-resident loader قادر على توصيل حمولات إضافية عبر EXE وDLL وPowerShell (المصدر).

   

• نظام ملفات السجل المشترك (Common Log File System - CLFS)

  عبارة عن خدمة تسجيل عامة يمكن استخدامها بواسطة عملاء البرامج الذين يعملون في وضع المستخدم أو وضع النواة kernel-mode لبناء سجلات معاملات عالية الأداء (المصدر).

   

• Hash-based Message Authentication Codes – HMAC:

  رمز مصادقة الرسائل المستند إلى التجزئة: هو تقنية مصادقة تشفيرية تستخدم دالة تجزئة hash function ومفتاح سري asymmetric cryptography  (المصدر).

   

• LDAP (Lightweight Directory Access Protocol):

  هو بروتوكول برمجي يستخدم لتحديد موقع البيانات الخاصة بالمؤسسات والأفراد والموارد الأخرى، مثل الملفات والأجهزة، على الشبكات العامة والشركات LDAP (المصدر). 

   

• Cloud Services Application – CSA:

  هي برامج يمكن للمستخدمين الوصول إليها بشكل أساسي عبر الإنترنت، مما يعني أن جزءًا منها على الأقل تتم إدارته بواسطة خادم، وليس أجهزة محلية للمستخدمين (المصدر).