اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• هجوم "iLeakage" الجديد يسرق البريد الإلكتروني وكلمات المرور من متصفح Apple Safari.

• مجموع تطبيقات الإعلانات الضارة على نظام Android المتوفرة على متجر Google Play وصلت إلى مليوني تثبيت.

• هجمات LinkedIn Smart Links تستهدف حسابات Microsoft.

• Google Chrome سيقوم بتفعيل "حماية IP" الجديدة لإخفاء عناوين IP الخاصة بالمستخدمين.

• منصة Discord تُستخدم كملعب للهاكرز التابعين للدول لاستهداف البنية التحتية الحيوية.

مخاطر وثغرات

• أكثر من 40,000 جهاز Cisco IOS XE مصاب بباب خلفي باستخدام zero-.day

• تعمل VMware على إصلاح ثغرة خطيرة في تنفيذ التعليمات البرمجية في خادم vCenter.

• F5 تصدر تحذيرًا لثغرة BIG-IP تسمح بتنفيذ كود عن بُعد.

• استغلال في "Citrix Bleed" يمكنه السماح للمخترقين باختراق حسابات NetScaler لدى Citrix والتحكم فيها.

• Microsoft Exchange يحصل على تصحيحات لتقليل تأثير ثغرة حرجة.

معلومة أمنية

• وقف المكالمات الاحتيالية عبر الهاتف            

هجوم "iLeakage" الجديد يسرق البريد الإلكتروني وكلمات المرور من متصفح Apple Safari

26 أكتوبر 2023

ابتكر الباحثون الأكاديميون هجومًا جديدًا أطلقوا عليه اسم "iLeakage"، والذي يعمل على جميع أجهزة Apple الحديثة ويمكنه استخراج معلومات حساسة من متصفح الويب Safari.

يعد iLeakage هو أول عرض لهجوم تنفيذ مستقبلي ضد وحدات المعالجة المركزية Apple Silicon CPUs  ومتصفح .Safari ويمكن استخدامه لاسترداد بيانات من Safari بدقة "شبه مثالية"، بالإضافة إلى متصفحات، مثل: Firefox وTor وEdge على نظام .iOS

في جوهره، إنه هجوم Spectre لا يتأثر بعوامل الزمن ويتجاوز إجراءات حماية القناة الجانبية القياسية side-channel protections التي ينفذها جميع مزودي المتصفحات.

تم تطوير iLeakage من قبل فريق من الباحثين الأكاديميين من جامعة Georgia Tech وجامعة Michigan وجامعة Ruhr في Bochum، الذين قاموا بفحص مرونة القناة الجانبية side-channel resilience في متصفح Safari وتمكنوا من تجاوز التدابير المضادة الحالية خلال تنفيذ طريقة غير زمنية وغير متوقعة.

الباحثون ركزوا على قراءة المعلومات الحساسة من متصفح Safari وتمكنوا من سرقة البيانات عن طريق إنشاء أداة بسيطة يمكنها القراءة وتسريب أي مؤشر بحجم 64 بت في مساحة العنوان التي يستخدمها متصفح Apple لعملية العرض.

وقد حققوا ذلك عبر تجاوز الحمايات المُنفّذة على القناة الجانبية التي طبقها متصفح Apple، مثل التوقيت ذي الدقة المنخفضة low-resolution timer وعناوين مضغوطة 35 بت.

كما تجاوز الباحثون سياسة عزل المواقع فيSafari، التي تفصل المواقع في مساحات عناوين مختلفة استنادًا إلى النطاق الأعلى الفعّال (eTLD) مضافًا إليه نطاق فرعي واحد.

واستخدموا تقنية جديدة تستخدم واجهة برمجة التطبيقات window.open في JavaScript، مما يسمح لصفحة الهجوم بمشاركة مساحة العنوان نفسها مع صفحات الضحية.

من خلال استخدام speculative type confusion يتم تجاوز عناوين 35 بت المضغوطة وتدابير ملء القيم المُضافة من قِبل Apple، واستطاع الباحثون تسريب البيانات الحساسة من الصفحة المستهدفة، مثل كلمات المرور وعناوين البريد الإلكتروني.

رمز إثبات المفهوم الخاص بالهجوم موجود بلغة JavaScript وWebAssembly، وهما لغتا البرمجة اللتان تستخدمان لتقديم محتوى الويب الديناميكي.

يتم استرداد رسائل Gmail في Safari على جهاز iPad باستخدام هجوم iLeakage. الشرط الأساسي لنجاح الهجوم هو أن يتفاعل المستخدم الضحية مع صفحة المهاجم.

الباحثون استخدموا الأسلوب نفسه لاسترداد كلمة مرور لحساب اختباري على Instagram كان قد تم ملؤها تلقائيًّا في متصفح Safari باستخدام خدمة إدارة كلمات المرور LastPass.

في تجربة أخرى، قام الباحثون بتوضيح كيف يعمل هجوم iLeakage أيضًا على متصفح Chrome لنظام iOS وتمكنوا من استرداد سجل المشاهدة على YouTube.

يوضحون أن سياسة Apple تجبر جميع متصفحات iOS التابعة لجهات خارجية على أن تكون متراكبة فوق Safari وأن تستخدم محرك JavaScript لمتصفح Apple.

يعتمد هجوم iLeakage على استغلال التنفيذ التخميني في شرائح Apple Silicon مثل M1 وM2، حيث يقوم التنفيذ التنبؤي لوحدة المعالجة المركزية CPU بأداء المهام التي من المرجح جدًّا أن تكون مطلوبة قبل معرفة ما إذا كانت مطلوبة فعليًّا أم لا.

هذه الآلية، الموجودة في جميع وحدات المعالجة المركزية الحديثة، تعزز بشكل كبير من الأداء. ومع ذلك، يمكن أن تسبب العيوب في التصميم تسرب البيانات، كما تم إثباته في هجمات Meltdown وSpectre التي تم الكشف عنها قبل ما يقرب من ست سنوات.

يؤثر هجوم iLeakage على جميع أجهزة Apple التي تم إصدارها منذ عام 2020 والتي تعتمد على معالجات Apple ARM من السلسلة A وM.

الهجوم يكون في الغالب غير قابل للاكتشاف، حيث لا يترك أي آثار على نظام الضحية على شكل سجلات، باستثناء ربما إدخال صفحة المهاجم في ذاكرة التخزين المؤقت للمتصفح.

ومع ذلك، يؤكد الباحثون أن الهجوم صعب التنفيذ "ويتطلب معرفة متقدمة بالهجمات الجانبية المرتبطة بالمتصفح والتنفيذ ".

تم الإبلاغ عن هجوم iLeakage بشكل خاص لشركة Apple في 12 سبتمبر 2022، وقامت الشركة بتطوير التدابير التالية لنظام macOS.

• افتح Terminal وقم بتشغيل"defaults write com.apple.Safari IncludeInternalDebugMenu 1"  لتمكين قائمة التصحيح الخفية في Safari.

• افتح Safari وانتقل إلى قائمة التصحيح الجديدة visible Debug menu.

• حدد 'WebKit Internal Features'.

• انتقل وفعِّل 'Swap Processes on Cross-Site Window Open'.

التدابير الوقائية تأتي مع تحذير يشير إلى أنها قد تؤدي إلى بعض عدم الاستقرار، وإذا أراد المستخدمون تعطيلها، يمكنهم فعل ذلك من القائمة التصحيحية عن طريق تشغيل الأمر "defaults write com.apple.Safari IncludeInternalDebugMenu 0" في الجهاز الطرفي.

بالإضافة إلى الآثار الفعلية لهجوم iLeakage، تسلط هذه الأبحاث الضوء على مخاطر التنفيذ التخميني المحتملة في منصات ARM الناشئة التي لم يتم فحصها بشكل كبير.

مجموع تطبيقات الإعلانات الضارة على نظام Android المتوفرة على متجر Google Play وصلت إلى مليوني تثبيت 

26 أكتوبر 2023

 تم تثبيت عدة تطبيقات Android ضارة على متجر Google Play أكثر من مليوني مرة، وتقوم بإرسال إعلانات مُزعجة للمستخدمين مع إخفاء وجودها على الأجهزة المصابة.

في تقرير التهديدات المحمولة الشهري الأخير الذي أعده محللو Doctor Web، تم التعرف على أحصنة طروادة على متجر Google Play مرتبطة ببرمجيات خبيثة 'FakeApp'"، 'Joker"'، و 'HiddenAds'.

من ضمن هذه التقارير، هناك أربعة تطبيقات إعلانات ضارة (HiddenAds) تُنكّر نفسها كأنها ألعاب، تستحق اهتمامًا خاصًا:

• Super Skibydi Killer – 1,000,000 تنزيل

• Agent Shooter – 500,000 تنزيل

• Rainbow Stretch – 50,000 تنزيل

• Rubber Punch 3D – 500,000 تنزيل

   
  

تطبيق HiddenAds للألعاب على متجر Google Play (Dr. Web)

يوضح Dr. Web أنه بمجرد أن يقوم الضحايا بتثبيت هذه التطبيقات على أجهزتهم، يتم إخفاؤها عن طريق استبدال أيقوناتها بأيقونة Google Chrome أو باستخدام صورة أيقونة شفافة لإنشاء مساحة فارغة في درج التطبيقات.

تعمل هذه التطبيقات بشكل خفي في الخلفية عند تشغيلها، حيث تستغل المتصفح لعرض الإعلانات وتوليد إيرادات لمشغليها.

اكتشف المحللون أيضًا العديد من التطبيقات التي تنتمي إلى عائلة FakeApp، والتي توجه المستخدمين إلى مواقع احتيال استثماري.

في حالات أخرى، رصد Dr. Web تطبيقات ألعاب تحمل مواقع الكازينو المشبوهة على الإنترنت في انتهاك لسياسات Google Play.

بعض الأمثلة البارزة على هذه التطبيقات:

• Eternal Maze (Yana Pospyelova) – 50,000 تنزيل

• Jungle Jewels (Vaibhav Wable) – 10,000 تنزيل

• Stellar Secrets (Pepperstocks) – 10,000 تنزيل

• Fire Fruits (Sandr Sevill) – 10,000 تنزيل

• Cowboy's Frontier (Precipice Game Studios) – 10,000 تنزيل

• Enchanted Elixir (Acomadyi) – 10,000 تنزيل

أخيرًا، اكتشف فريق مكافحة الفيروسات تطبيقين ينتميان إلى عائلة Joker على متجر Google Play، والتي تجعل المستخدمين يشتركون في خدمات مدفوعة:

• Love Emoji Messenger (Korsinka Vimoipan) – 50,000 تنزيل

• Beauty Wallpaper HD (fm0989184) – 1,000 تنزيل

تمت إزالة جميع التطبيقات المعروضة في هذا التقرير من Google Play.

ومع ذلك، يجب على المستخدمين الذين قاموا بتثبيتها في الماضي حذفها على الفور وإجراء فحص كامل للجهاز باستخدام Play Protect وأداة مكافحة الفيروسات على الأجهزة المحمولة.

كما نشر موقع Dr. Web أيضًا قائمة بالتجزئة (هاش) لجميع التطبيقات الضارة على نظام Android   التي اكتشفها محللوه في الشهر الماضي على GitHub.

لتجنب تنزيل البرامج الضارة من Google Play، يجب تقليل عدد التطبيقات التي تقوم بتثبيتها إلى الحد الأدنى المطلوب، وقراءة مراجعات المستخدمين بعناية، والقيام بفحوصات للتحقق من مصداقية الناشر.
 

هجمات LinkedIn Smart Links تستهدف حسابات Microsoft
 

11 أكتوبر 2023

استغل القراصنة مرة أخرى روابط LinkedIn Smart Links في هجمات التصيد الاحتيالي لتجاوز تدابير الحماية وتجنب الكشف في محاولات سرقة بيانات اعتماد حسابات .Microsoft

روابط Smart Links تعد جزءًا من خدمة LinkedIn Sales Navigator، تُستخدم لأغراض التسويق والتتبع، مما يتيح لحسابات الأعمال إرسال المحتوى عبر البريد الإلكتروني باستخدام روابط قابلة للتتبع لمعرفة من قام بالتفاعل معها.

نظرًا في استخدام LinkedIn Smart Links يبدو أنها تنبع من مصدر موثوق وتتجاوز حماية البريد الإلكتروني.

استغلال ميزة الروابط الذكية Smart Links في LinkedIn ليس أمرًا جديدًا، حيث اكتشفت شركة الأمن السيبراني Cofense هذه التقنية في حملة نصب واحتيال تستهدف مستخدمي سلوفاكيا في أواخر عام 2022 باستخدام وسائل وعروض خدمات بريدية وهمية. 

اكتشفت شركة أمن البريد الإلكتروني زيادة في استغلال روابط LinkedIn الذكية مؤخرًا، حيث تم اكتشاف أكثر من 800 بريد إلكتروني بموضوعات متنوعة توجه مجموعة واسعة من الأهداف نحو صفحات التصيد الاحتيالي.

وفقًا لـ Cofense، حدثت الهجمات الأخيرة بين يوليو وأغسطس 2023، باستخدام 80 رابطًا ذكيًّا فريدًا، وكانت تنبع من حسابات أعمال LinkedIn حديثة أو تم اختراقها.

تظهر بيانات Cofense أن أكثر القطاعات استهدافًا في هذه الحملة الأخيرة هي القطاعات المالية، والتصنيع، والطاقة، والبناء، والرعاية الصحية.

أهم 10 صناعات تستهدفها حملة Linkedin Smart Link

أفادت Cofense أنه "على الرغم من أن قطاعي المال والتصنيع أكثر القطاعات استهدافاً، فيمكن الاستنتاج من هذه الحملة أنها لم تكن هجومًا مباشرًا على أي عمل أو قطاع واحد، بل كانت هجومًا على نطاق واسع لجمع أكبر عدد ممكن من بيانات الاعتماد باستخدام حسابات أعمال LinkedIn وروابط Smart Links لتنفيذ الهجوم". 

البريد الإلكتروني الذي تم إرساله إلى الأهداف يستخدم موضوعات تتعلق بالمدفوعات، والموارد البشرية، والمستندات، وإشعارات الأمان، وغيرها، حيث يتسبب الرابط/الزر المضمن في تشغيل سلسلة من إعدادات التوجيه من خلال رابط LinkedIn Smart Link.

لزيادة مصداقية عملية الاحتيال وإنشاء شعور زائف على صفحة تسجيل الدخول إلى Microsoft، يتم ضبط الرابط المرسل إلى الضحايا ليحتوي على عنوان البريد الإلكتروني الخاص بالهدف.

ستقرأ صفحة الاحتيال عنوان البريد الإلكتروني من الرابط الذي قام الضحية بالنقر عليه وستقوم بملء الحقل المخصص له بناءً على ذلك، حيث سيُتوقع من الضحية ملء حقل كلمة المرور فقط، تمامًا كما يحدث في بوابة تسجيل الدخول الشرعية.
 

Google Chrome سيقوم بتفعيل "حماية IP" الجديدة لإخفاء عناوين IP الخاصة بالمستخدمين

22 أكتوبر 2023

تستعد Google لاختبار ميزة حماية العنوان IP الجديدة لمتصفح كروم، والتي تعزز خصوصية المستخدمين من خلال إخفاء عناوين الـ IP الخاصة بهم باستخدام خوادم proxy.

واعترافًا بإمكانية سوء استخدام عناوين الـ IP في التتبع الخفي، تسعى Google إلى إيجاد توازن بين ضمان خصوصية المستخدمين ووظائف الويب الأساسية.

تسمح عناوين الـ IP بتتبع الأنشطة عبر المواقع والخدمات عبر الإنترنت، مما يسهل إنشاء ملفات تعريف مستخدم دائمة. وهذا يثير مخاوف خصوصية كبيرة، حيث إن المستخدمين -حاليًّا- ليس لديهم وسيلة مباشرة لتجنب مثل هذا التتبع الخفي، على عكس ملفات تعريف الارتباط التابعة لجهات خارجية.

الميزة المقترحة لحماية العنوان IP من Google هي حل للتعامل مع الدور المزدوج لعناوين الـ IP، حيث تعد ناقلات لتتبع الأنشطة على الإنترنت، وفي الوقت نفسه، لا غنى عنها لوظائف الويب الحيوية مثل توجيه حركة المرور ومكافحة الاحتيال ومهام الشبكة الأخرى الحيوية.

تعمل ميزة "حماية العنوان IP" على معالجة هذا الدور المزدوج من خلال توجيه حركة البيانات من الجهات الخارجية من نطاقات محددة عبر خوادم proxy، مما يجعل عناوين الـ IP الخاصة بالمستخدمين غير مرئية لتلك النطاقات. ومع تطور النظام البيئي، ستتطور أيضًا ميزة حماية العنوان IP لتتكيف وتستمر في حماية المستخدمين من التتبع بين المواقع وإضافة مجالات إضافية إلى حركة البيانات التي تمر عبر خوادم proxy.

تتم إعادة تقديم مقترح من Google لحماية المستخدمين من التتبع بين المواقع باستخدام عناوين الـ IP ويتم وصف هذا المقترح بأنه عبارة عن وسيط خصوصية يجعل عناوين الـ IP مجهولة المصدر لحركة البيانات المؤهلة كما هو موضح أعلاه.

في البداية، ستكون ميزة حماية العنوان IP اختيارية، مما يضمن للمستخدمين السيطرة على خصوصيتهم وتتيح Google مراقبة اتجاهات السلوك.

سيتم إطلاق هذه الميزة بمراحل لاحتواء الاعتبارات الإقليمية وضمان وجود منحنى تعلم. في النهج الأولي، ستتأثر النطاقات المُدرجة فقط في سياقات الجهات الخارجية، مع التركيز على تلك التي يُعتقد أنها تتبع المستخدمين.

المرحلة الأولى، المسماة "المرحلة 0"، سترى Google توجيه الطلبات فقط إلى نطاقاتها الخاصة باستخدام وكيل مملوك لها. وهذا سيساعد Google في اختبار بنية النظام وسيمنحها وقتًا إضافيًّا لضبط قائمة النطاقات.

في البداية، سيتاح الوصول إلى هذه الوكالات فقط للمستخدمين الذين قاموا بتسجيل الدخول إلى متصفح Google Chrome ولديهم عناوين IP الموجودة في الولايات المتحدة.

سيتم تضمين مجموعة محددة من العملاء تلقائيًّا في هذا الاختبار التمهيدي، ولكن سيتعين إجراء تعديلات على التصميم بمرور الاختبارات.

لتجنب سوء الاستخدام المحتمل، سيقوم خادم المصادقة الذي يديره Google بتوزيع رموز الوصول إلى الوكيل وتعيين حصة محددة لكل مستخدم.

في المراحل القادمة، تخطط Google لاعتماد نظام وكيل بمرحلتين لزيادة الخصوصية بشكل أكبر.

تفكر Google في استخدام مرحلتين لزيادة الخصوصية، سيتم تشغيل وكيل ثانٍ من قبل موفر محتوى خارجي للتوزيع، بينما سيقوم Google بتشغيل المرحلة الأولى ليشرح وثيقة شرح حماية العنوان IP.

وهذا يضمن أن أيًّا من الوكيلين لن يمكنه رؤية عنوان الـ IP الخاص بالعميل والوجهة معًا. يدعم CONNECT وCONNECT-UDP ربط الوكلاء.

نظرًا لأن العديد من خدمات الإنترنت تستخدم GeoIP لتحديد موقع المستخدم لتقديم الخدمات، يخطط Google لتخصيص عناوين الـ IP لاتصالات الوكيل بحيث تمثل موقع "تقريبيًّا" للمستخدم بدلًا من موقعه الدقيق، كما هو موضح أدناه.
 

Google تخطط لتعيين عنوان IP بحيث يسمح بتحديد موقع GeoIP

من بين النطاقات التي تعتزم Google اختبار هذه الميزة فيها هي منصاتها الخاصة، مثل: Gmail وAd Services.

تعتزم Google اختبار هذه الميزة بين Chrome 119 وChrome 225.

هناك بعض المخاوف الأمنية المحتملة؛ حيث تشرح Google أن هناك بعض القلق الأمني المتعلق بميزة الحماية من العناوين البروتوكولية الجديدة.

نظرًا لأن حركة المرور ستمر عبر خوادم Google عند استخدام هذه الميزة، قد يصعب على خدمات الأمان وحماية الاحتيال حظر هجمات DDoS أو اكتشاف حركة مرور غير صالحة.

علاوة على ذلك، إذا تم اختراق أحد خوادم الوكيل التابعة لـ Google، يمكن للجهة الضارة رؤية والتلاعب بحركة المرور التي تمر عبره.

للتخفيف من هذا الأمر، تفكر Google في طلب من مستخدمي الميزة المصادقة عبر الوكيل، ومنع الوكلاء من ربط طلبات الويب بحسابات معينة، وإدخال تقييد للمعدل لمنع هجمات DDoS.

منصة Discord تُستخدم كملعب للهاكرز التابعين للدول لاستهداف البنية التحتية الحيوية

17 أكتوبر 2023

في آخر تطور لاستغلال المهاجمين للبنية التحتية الحيوية، تشير الاكتشافات الجديدة إلى أن مجموعات القرصنة التابعة للدول قد دخلت في اللعبة من خلال استغلال منصة التواصل الاجتماعي Discord لاستهداف البنية التحتية الحيوية.

لقد أصبح Discord خلال السنوات الأخيرة هدفًا مربحًا، حيث يعمل كأرض خصبة لاستضافة البرمجيات الخبيثة باستخدام شبكة توزيع المحتوى (content delivery network - CDN) الخاصة به، بالإضافة إلى السماح لأدوات سرقة المعلومات بسحب البيانات الحساسة من التطبيق وتسهيل تنقل البيانات من خلال أدوات الويب.

أفاد Ernesto Fernández Provecho وDavid Pastor Sanz، الباحثان في Trellix، في تقرير أن"استخدام منصة Discord يقتصر بشكل كبير على أدوات سرقة المعلومات التي يمكن لأي شخص شراؤها أو تنزيلها من الإنترنت".

لكن هذا قد يتغير، حيث أفادت الشركة المختصة في أمن المعلومات أنها وجدت دلائل على وجود عملية استهداف تستهدف البنية التحتية الحيوية في أوكرانيا. ولا يوجد حاليًّا أي دليل يربط هذه العملية بمجموعة تهديد معروفة.

وأشار الباحثون إلى أن الظهور المحتمل لحملات البرامج الضارة APT التي تستغل وظائف Discord يقدم طبقة جديدة من التعقيد في مشهد التهديدات.

النموذج هو ملف Microsoft OneNote يُوزع عبر رسالة بريد إلكتروني تنتحل هوية منظمة غير ربحية تحمل اسم dobro.ua.  

يحتوي الملف، بمجرد فتحه، على إشارات إلى جنود أوكرانيين لخداع المستلمين، وجعلهم يتبرعون عبر النقر على زر مفخخ، مما يؤدي إلى تنفيذ سكربت Visual Basic Script (VBS) مصمم لاستخراج وتشغيل برنامج PowerShell آخر لتنزيل Script PowerShell آخر من مستودع GitHub.

بالنسبة للمرحلة النهائية، يستفيد PowerShell من webhook Discord لتنفيذ استخراج بيانات النظام.

حقيقة أن هدف final payload الوحيد هو الحصول على معلومات حول النظام تشير إلى أن الحملة لا تزال في مرحلة مبكرة، مما يتناسب أيضًا مع استخدام Discord كوسيلة للتحكم والتوجيه.

ومع ذلك، من المهم أن نشير إلى أن الجهة الفاعلة يمكنها تقديم قطعة أكثر تطورًا من البرمجيات الخبيثة للأنظمة المتعرضة في المستقبل عن طريق تعديل الملف المخزن في مستودع GitHub.

كشفت تحليلات Trellix أيضًا أن البرامج المحملة، مثل: SmokeLoader وPrivateLoader  وGuLoader هي من بين أكثر عائلات البرمجيات الخبيثة شيوعًا التي تستخدم شبكة توزيع المحتوى (CDN) الخاصة بـ Discord لتنزيل حمولة المرحلة القادمة، بما في ذلك أدوات سرقة، مثل: RedLine وVidar وAgent Tesla وUmbral.

بالإضافة إلى ذلك، بعض عائلات البرمجيات الخبيثة الشائعة التي تمت ملاحظتها وباستخدام Discord هي Mercurial Grabber وStealerium وTyphon Stealer وVenom RAT.

أشار الباحثون إلى أن "سوء استخدام CDN الخاص بـ Discord كوسيلة لتوزيع حمولات برامج ضارة إضافية يُظهر قدرة الجناة الإلكترونيين على التكيف للاستفادة من التطبيقات التعاونية في مصلحتهم".

"تشتهر التهديدات المتقدمة (APTs) بهجماتها المتطورة والموجهة، ومن خلال اختراق منصات الاتصالات المستخدمة على نطاق واسع مثل Discord، يمكنها إنشاء موطئ قدم بكفاءة على المدى الطويل داخل الشبكات، مما يعرض البنية التحتية الحيوية والبيانات الحساسة للخطر".
 

أكثر من 40,000 جهاز Cisco IOS XE مصاب بباب خلفي باستخدام zero-day

19 أكتوبر 2023

تم اختراق أكثر من 40,000 جهاز Cisco يعمل بنظام التشغيل IOS XE بعد أن استغل المهاجمون ثغرة أمنية ذات التصنيف الأقصى تم تتبعها تحت رقم CVE-2023-20198.

لا يتوفر تصحيح أو حل مؤقت، والتوصية الوحيدة للعملاء لتأمين أجهزتهم هي "تعطيل ميزة خادم HTTP على جميع الأنظمة المواجهة للإنترنت".

أجهزة الشبكات التي تعمل بنظام التشغيل Cisco IOS XE تشمل enterprise switches، وأجهزة التوجيه الصناعية industrial routers، ونقاط الوصول access points، ووحدات التحكم اللاسلكية wireless controllers، وأجهزة التجميع، وأجهزة التوجيه الفرعية aggregation, and branch routers.

بلغت التقديرات الأولية لأجهزة Cisco IOS XE المخترقة حوالي 10,000 جهاز، وبدأ العدد في الزيادة بمجرد أن بدأ الباحثون الأمنيون بفحص الإنترنت للحصول على رقم أكثر دقة.

أعلن محرك LeakIX لخدمات الفهرسة وتطبيقات الويب على شبكة الإنترنت العامة أنه وجد حوالي 30,000 جهاز مصاب، دون احتساب الأنظمة التي تمت إعادة تشغيلها.

اعتمد البحث على مؤشرات الاختراق (indicators of compromise - IoCs) التي قدمتها شركة Cisco لتحديد استغلال CVE-2023-20198 بنجاح على جهاز مكشوف، وكشف البحث عن الآلاف من الأجهزة المصابة في الولايات المتحدة والفلبين وتشيلي.

باستخدام طريقة التحقق نفسها من Cisco، أعلن فريق CERT  من شركة Orange أن هناك أكثر من 34,500 عنوان IP لأجهزة Cisco IOS XE مصابة بعملية زرع ضارة نتيجة استغلال الثغرة CVE-2023-20198.

كما نشرت CERT Orange أيضًا برنامجًا نصيًّا بلغة Python لفحص وجود عملية زرع ضارة على جهاز الشبكة الذي يعمل بنظام Cisco IOS XE.

أفادت منصة البحث Censys لتقييم مدى الهجوم لأجهزة متصلة بالإنترنت أن عدد الأجهزة المخترقة التي وجدتها زاد إلى 41,983.

يصبح الحصول على عدد دقيق لأجهزة Cisco IOS XE التي يمكن الوصول إليها عبر الإنترنت صعبًا، ولكن Shodan يعرض أكثر من 145,000 مضيف، معظمها في الولايات المتحدة.

قام الباحث الأمني Yutaka Sejiyama أيضًا بالبحث في Shodan عن أجهزة Cisco IOS XE  المعرضة للثغرة CVE-2023-20198 ووجد حوالي 90,000 مضيف على الويب.

في الولايات المتحدة، العديد من هذه الأجهزة تعود لمقدمي خدمات الاتصالات، مثل: Comcast وVerizon وCox Communications وFrontier وAT&T وSpirit وCenturyLink وCharter وCobridge وWindstream وGoogle Fiber.

قائمة Sejiyama تتضمن أيضًا مراكز طبية وجامعات ومكاتب ومناطق ومدارس ومحلات سوبرماركت وبنوكًا ومستشفيات وكيانات حكومية تمتلك أجهزة Cisco IOS XE تعرض على الإنترنت. 

أفاد Sejiyama لـ  BleepingComputerأنه "لا حاجة لتعريض شاشة تسجيل الدخول لنظام التشغيل IOS XE على الإنترنت في المقام الأول"، مؤكدًا نصائح Cisco بعدم تعريض واجهة الويب وخدمات الإدارة للويب العام أو للشبكات غير الموثوقة.

وأعرب الباحث عن قلقه إزاء هذه الممارسات، مشيرًا إلى أن "المؤسسات التي تستخدم هذا النوع من التجهيزات على الأرجح لا تدرك هذه الثغرة أو الاختراق".

 كشفت شركة Cisco عن CVE-2023-20198 يوم 16 أكتوبر، ولكن قام المهاجمون بالاستفادة منها قبل 28 سبتمبر، عندما كان zero-day، لإنشاء حساب ذي امتيازات عالية على الأجهزة المتأثرة والسيطرة الكاملة على الجهاز.

قامت Cisco بتحديث توجيهاتها بعناوين IP وأسماء مستخدمين جدد للمهاجمين، بالإضافة إلى قواعد جديدة لنظام الكشف عن اختراق الشبكة مفتوح المصدر Snort ونظام منع الاختراق.

يشير الباحثون إلى أن المهاجمين وراء هذه الهجمات يستخدمون عملية زرع ضارة، ليس لديه استدامة ولا تتمتع بالثبات وتتم إزالتها بعد إعادة تشغيل الجهاز.

ومع ذلك، تظل الحسابات الجديدة التي ساعدت في إنشائها نشطة و"تتمتع بامتيازات المستوى 15 مما يعني أن لديهم حق وصول المسؤول الكامل إلى الجهاز".

استنادًا إلى تحليل Cisco، يقوم ممثل التهديد بجمع تفاصيل حول الجهاز ويقوم بأنشطة استطلاعية أولية. ويقوم المهاجم أيضًا بمسح السجلات وإزالة المستخدمين -على الأرجح- لإخفاء نشاطهم.

يعتقد الباحثون أن وراء هذه الهجمات هو جهاز تهديد واحد فقط، ولكن لم يتمكنوا من تحديد آلية التسليم الأولية.

لم تكشف Cisco عن تفاصيل إضافية حول الهجمات، ولكنها وعدت بتقديم مزيد من المعلومات عند الانتهاء من التحقيق وعند توفر التصحيح.
 

تعمل VMware على إصلاح ثغرة خطيرة في تنفيذ التعليمات البرمجية في خادم vCenter

25 أكتوبر 2023

 
 

أصدرت VMware تحديثات أمان لإصلاح ثغرة حرجة في خادم vCenter يمكن استغلالها للقيام بهجمات تنفيذ التعليمات البرمجية عن بعد على الخوادم الضعيفة.

خادم vCenter هو المركز الرئيس لإدارة VMware vSphere ويساعد المسؤولين على إدارة ومراقبة البنية التحتية الافتراضية.

تم الإبلاغ عن الثغرة (CVE-2023-34048) بواسطة Grigory Dorodnov من مبادرة Zero Day  منTrend Micro ، وذلك بسبب ضعف الكتابة الخاصة بـ out-of-bounds في تنفيذ بروتوكول DCE/RPC لخادم vCenter.

يمكن للمهاجمين غير المصرح لهم استغلالها عن بعد في هجمات ذات تعقيد منخفض، والتي لا تتطلب تفاعل المستخدم. وتقول الشركة إنها ليس لديها دليل على أن ثغرة CVE-2023-34048 في تنفيذ التعليمات البرمجية عن بعد تُستخدم حاليًّا في هجمات.

التصحيحات الأمنية التي تعالج هذه المشكلة متاحة الآن من خلال آليات تحديث خادم vCenter Server  القياسية. نظرًا لطبيعة هذه الثغرة الحرجة، أصدرت VMware أيضًا تصحيحات لمنتجات end-of-life المتعددة التي لم تعد تحت الدعم النشط.

أفادت الشركة: "على الرغم من أن VMware لا تذكر منتجات end-of-life في تنبيهات الأمان لشركة VMware، فإنه نظرًا لخطورة هذه الثغرة وعدم وجود حل بديل، قامت VMware بتوفير تصحيح عام لخادم vCenter 6.7U3 و6.5U3 وVCF 3.x .

للأسباب نفسها، قامت VMware بتوفير تصحيحات إضافية لخادم vCenter 8.0U1، وتم توفير تصحيحات Async vCenter Server لنشر VCF 5.x و4.x.

نظرًا لعدم وجود حل بديل، تحث VMware المسؤولين على التحكم بشكل صارم في الوصول إلى محيط الشبكة لمكونات إدارة vSphere وواجهاتها، بما في ذلك مكونات التخزين والشبكة.

تعلق المنافذ الشبكية الخاصة المرتبطة بالاستغلال المحتمل في الهجمات المستهدفة هذه الثغرة بالمنافذ 2012/tcp، 2014/tcp، و2020/tcp.

كما قامت الشركة بإصدار تصحيح لثغرة جزئية في كشف المعلومات بتقدير قاعدة النقاط CVSS بتصنيف 4.3/10 والمتتبعة بالرمز CVE-2023-34056، والتي يمكن أن يستغلها المهاجمون بعمليات غير إدارية على خوادم vCenter للوصول إلى بيانات حساسة.

ذكرت VMware في وثيقة FAQ منفصلة: "سيتم اعتبار هذا تغييرًا طارئًا، ويجب على منظمتك أن تفكر في التصرف بسرعة". "ومع ذلك، يعتمد كل استجابة أمنية على السياق. ويُرجى التشاور مع موظفي أمن المعلومات في منظمتك لتحديد الإجراء المناسب لمنظمتك".

في شهر يونيو، قامت VMware بتصحيح العديد من الثغرات الأمنية عالية الخطورة في خادمvCenter، مما قلل من مخاطر تنفيذ التعليمات البرمجية وتجاوز المصادقة.

في الأسبوع نفسه، قامت VMware بإصلاح ثغرة zero-day في ESXi التي تم استغلالها من قبل مهاجمين صينيين في هجمات سرقة البيانات، وحذرت العملاء من ثغرة حرجة تم استغلالها بشكل نشط في أداة تحليل Aria Operations for Networks، والتي تمت معالجتها منذ ذلك الحين.
 

F5 تصدر تحذيرًا لثغرة BIG-IP تسمح بتنفيذ كود عن بُعد

27 أكتوبر2023

قامت شركة F5 بتنبيه عملائها بشأن ثغرة أمنية حرجة تؤثر على BIG-IP والتي قد تؤدي إلى تنفيذ عمليات برمجية عن بعد دون مصادقة.

هذه الثغرة مرتبطة بعنصر مكون الأداة المساعدة للتكوين configuration utility component، وقد تم تعيينها على CVE CVE-2023-46747، وتحمل درجة تصنيف CVSS 9.8  من أصل 10 كحد أقصى.

"هذه الثغرة قد تسمح للمهاجم غير المصادق لديه الوصول إلى نظام BIG-IP عبر منفذ الإدارة و/أو عناوين الـ IP الذاتية بتنفيذ أوامر برمجية ضارة، وأفادت F5 في تنويه نشرته. "لا يوجد تعرض لمستوى البيانات؛ هذه المشكلة متعلقة بمستوى التحكم فقط."

تم العثور على الإصدارات التالية من BIG-IP عرضة للثغرة:

• 17.1.0 (17.1.0.3 تم إصلاحها في + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)

• 16.1.0 - 16.1.4 (تم إصلاحها في16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)

• 15.1.0 - 15.1.10 (15.1.10.2تم إصلاحها في + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)

• 14.1.0 - 14.1.5 (14.1.5.6تم إصلاحها في + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)

• 13.1.0 - 13.1.5 (13.1.5.1تم إصلاحها في + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)

كإجراءات للتخفيف، قامت F5 أيضًا بتوفير نص لمستخدمي BIG-IP الذين يستخدمون الإصدار 14.1.0 وما بعد. وحذرت الشركة قائلة: "يجب عدم استخدام هذا النص على أي إصدار سابق للـ BIG-IP 14.1.0 وإلا فإنه سيمنع بدء تشغيل الأداة المساعدة للتكوين".

بعض الحلول المؤقتة المتاحة للمستخدمين تشمل:

• منع الوصول إلى وحدة تكوين النظام من خلال عناوين الـ IP الذاتية.

• حظر الوصول إلى وحدة تكوين النظام من خلال واجهة الإدارة.

تم نسب اكتشاف الثغرة والإبلاغ عنها إلى Michael Weber وThomas Hendrickson من Praetorian في 4 أكتوبر 2023.

وصفت الشركة في تقرير فني لها الثغرة CVE-2023-46747 بأنها مشكلة تجاوز المصادقة ويمكن أن تؤدي إلى اختراق كامل لنظام F5 من خلال تنفيذ أوامر عشوائية بصلاحيات المشرف على النظام المستهدف، مشيرة إلى أنها مرتبطة بشكل وثيق بالثغرة CVE-2022-26377.

توصي Praetorian أيضًا بأن يقوم المستخدمون بتقييد الوصول إلى واجهة إدارة حركة المرور (Traffic Management User Interface - TMUI) من الإنترنت. ويجدر بالذكر أن CVE-2023-46747 هي واحدة من ثلاث ثغرات التي تسمح بتنفيذ التعليمات البرمجية عن بُعد دون مصادقة، والتي تم اكتشافها في TMUI بعد CVE-2020-5902 وCVE-2022-1388.
 

استغلال في "Citrix Bleed" يمكنه السماح للمخترقين باختراق حسابات NetScaler لدى Citrix والتحكم فيها. 

25 أكتوبر 2023



  

تم نشر استغلال لثغرة "Citrix Bleed"، المتتبعة بالرقم CVE-2023-4966، والتي تتيح للمهاجمين استرداد ملفات تعريف الجلسة للمصادقة authentication session cookies من أجهزة Citrix NetScaler ADC وNetScaler Gateway المعرضة للثغرة.

CVE-2023-4966 هي ثغرة خطيرة للغاية تكشف معلومات يمكن استغلالها عن بُعد، وقامت Citrix بإصلاحها في 10 أكتوبر دون تقديم تفاصيل كثيرة.

في 17 أكتوبر، كشفت Mandiant أنه تم استغلال الثغرة كهجوم (zero-day) في هجمات محدودة منذ نهاية أغسطس 2023.

أصدرت Citrix تحذيرًا لمسؤولي أجهزة NetScaler ADC وGateway، حثتهم على تثبيت التصحيح على الفور، حيث بدأت معدلات الاستغلال في الزيادة.

أفاد الباحثون في Assetnote بمشاركة المزيد من التفاصيل حول طريقة استغلال الثغرة CVE-2023-4966 ونشروا دليلًا على GitHub لتوضيح اكتشافاتهم ومساعدة أولئك الذين يرغبون في اختبار التعرض.

الثغرة CVE-2023-4966 Citrix Bleed هي ثغرة تتعلق بالتخزين المؤقت وتؤثر على Citrix NetScaler ADC وNetScaler Gateway، وهما جهازان شبكيان يُستخدمان لتوزيع الأحمال، وتنفيذ جدران الحماية، وإدارة حركة البيانات، وشبكات الخصوصية الافتراضية (VPN)، والمصادقة للمستخدمين.

من خلال تحليل الإصدارات غير المصححة (48.47-13.1) والمصححة (49.15-13.1) من NetScaler، اكتشف باحثو Assetnote 50 تغييرًا في الوظائف.

من بين هذه الوظائف، اكتشف الباحثون وظيفتين 'ns_aaa_oauth_send_openid_config'و'ns_aaa_oauthrp_send_openid_config' تتميزان بفحوصات حدود إضافية قبل إنشاء الاستجابة.

تستخدم هذه الوظائف 'snprintf' لإدراج البيانات المناسبة في حمولة JSON المُنشأة لتكوين OpenID في الإصدار قبل التصحيح، ويتم إرسال الاستجابة مباشرة دون فحص.

الثغرة تنشأ من القيمة المرجعة للدالة snprintf، والتي يمكن أن تؤدي إلى قراءة تخزين مؤقت إضافية إذا تم استغلالها.

الإصدار المصلح يضمن أنه سيتم إرسال استجابة فقط إذا كانت قيمة إرجاع snprintf أقل من 0x20000.

مع معرفة هذا، قام محللو Assetnote بمحاولة استغلال نقاط النهاية في NetScaler  القابلة للاستغلال.

خلال هذه العملية، اكتشفوا أن قيمة اسم الاستضافة المستخدمة hostname لإنشاء الحمولة payload تأتي من HTTP Host Header، لذا ليس هناك حاجة لحقوق المسؤول للوصول إليها.

وعلاوة على ذلك، يتم إدراج اسم الاستضافة hostname في الحمولة payload ست مرات. وبالتالي، يمكن استغلاله لتجاوز حد الذاكرة المؤقتة، مما يجبر نقطة النهاية endpoint على الرد بمحتويات الذاكرة المؤقتة والذاكرة المجاورة.

وضح Assetnote في تقرير: "كنا نستطيع أن نرى بوضوح الكثير من الذاكرة المسربة مباشرة بعد حمولة "JSON. 

من خلال استغلال الثغرة الأمنية آلاف المرات للأغراض التجريبية، تمكن المحللون باستمرار من العثور على سلسلة سداسية عشرية طويلة تتراوح بين 32 و65 بايت تمثل ملف تعريف الجلسة.

استرداد هذا الملف يمكن أن يتيح للمهاجمين اختراق الحسابات والوصول إلى الأجهزة دون قيود.

الآن بعد أن أصبح استغلال CVE-2023-4966 متاحًا علنيًّا، من المتوقع أن مهاجمي التهديد  سيزيدون من استهداف أجهزة Citrix Netscaler للحصول على وصول أولي إلى شبكات الشركة.

أبلغت خدمة مراقبة التهديدات Shadowserver عن ارتفاع كبير في محاولات الاستغلال بعد نشر إثبات المفهوم الخاص بـ Assetnote، لذا فقد بدأ النشاط الضار بالفعل.

نظرًا؛ لأن هذه الثغرات من الأنواع التي تُستخدم عادة في هجمات الفدية ransomware وسرقة البيانات data theft attacks، فمن المستحسن بشدة أن يقوم مسؤولو النظام بتثبيت التصحيحات على الفور لحل هذه الثغرة.
 

Exchange يحصل على تصحيحات لتقليل تأثير ثغرة حرجة

10 أكتوبر 2023

طلب فريق Exchange من المسؤولين نشر تصحيح جديد و"أفضل" لثغرة حرجة في خادم Microsoft Exchange تم التعامل معها في البداية في أغسطس.

الثغرة، والتي يتم تتبعها باسم CVE-2023-21709 وتم تصحيحها خلال تصحيحات أغسطس 2023، مكنت المهاجمين غير المصادقين من تصعيد الامتيازات على خوادم Exchange التي لم يتم تطبيق التصحيح عليها في هجمات منخفضة التعقيد والتي لا تتطلب تفاعل المستخدم.

أوضحت Microsoft: في الهجوم القائم على الشبكة، يمكن للمهاجم أن يفرض كلمات مرور حساب المستخدم لتسجيل الدخول باسم ذلك المستخدم. وتشجع Microsoft استخدام كلمات مرور قوية يصعب على المهاجم فرضها بالقوة.

على الرغم من أن Microsoft أصدرت تحديثات أمان لإصلاح الثغرة، فإنها أبلغت المسؤولين عن Exchange أنهم يجب أيضًا أن يقوموا يدويًّا بإزالة وحدة التخزين المتاحة Windows IIS Token Cache الضعيفة أو استخدام هذا النص البرمجي PowerShell لضمان حماية خوادمهم من الهجمات باستخدام استغلال ثغرة CVE-2023-21709.

كجزء من تصحيحات هذا الشهر، أصدرت Microsoft الآن تحديث أمان جديدًا 
(CVE-2023-36434) يعالج الثغرة CVE-2023-21709 بشكل كامل ولا يتطلب أية خطوات إضافية.

أفاد فريق Exchange أنه "أثناء إصدار Security Updates - SUs لشهر أغسطس 2023، قمنا بتوصية باستخدام حل يدوي أو برمجي وتعطيل وحدة التخزين Token Cache في IIS كوسيلة للتعامل مع ثغرة "CVE-2023-21709.

"قام فريق Windows بإصدار إصلاح IIS بسبب هذه الثغرة، في شكل إصلاح لـ CVE-2023-36434. نوصي بتثبيت إصلاح IIS بعد ذلك يمكنك إعادة تمكين وحدة Token Cache على خوادم Exchange الخاصة بك".

إذا كنت قد قمت بإزالة وحدة Windows IIS Token Cache لمعالجة الثغرة في تصعيد الامتياز بالكامل، ستحتاج الآن إلى تثبيت تحديثات الأمان الحالية وإعادة تمكين وحدة IIS باستخدام هذا النص البرمجي أو بتشغيل الأمر التالي من PowerShell

New-WebGlobalModule -Name "TokenCacheModule" -Image %windir%\System32\inetsrv\cachtokn.dll

يُنصح المسؤولون الذين لم يقوموا بتثبيت تحديث الأمان CVE-2023-21709 الصادر في أغسطس بتثبيت تحديثات الأمان لشهر أكتوبر 2023 لـWindows Server.

أضافت Microsoft نحن نقوم بتحديث جميع صفحات ونصوص وثائق أغسطس 2023 ذات الصلة، بالإضافة إلى أداة فحص الصحة لتعكس توصياتنا الجديدة.

تم تصحيح تحديثات الأمان لثلاث ثغرات، وصنفت 12 منها على أنها حرجة في تحديثات أكتوبر 2023. ورفضت Microsoft تصحيح إحدى هذه الثغرات، وهي ثغرة ارتفاع الامتياز في Skype for Business المتتبعة برمز CVE-2023-41763 والتي تم الكشف عنها بواسطة Dr. Florian Hauser في سبتمبر 2022، حتى اليوم، على الرغم من أن الجهات الهجومية يمكن أن تستغلها للوصول إلى الأنظمة في الشبكات الداخلية.
 

وقف المكالمات الاحتيالية عبر الهاتف  
  

القصة
كان ديفيد مشغولًا بمشاهدة المسلسل المفضل لديه عندما تلقى اتصالًا هاتفيًا من رقم لم يعرفه. كان رمز المنطقة هو نفسه رمز المنطقة الخاص به، لذا اعتقد أنه عبارة عن اتصال محلي ورد على الهاتف. في الحال طُلب من ديفيد تأكيد اسمه الكامل، ثم ذكر المتصل أنه من قسم الشرطة وأنه تم إصدار أمر بالقبض على ديفيد. كانت ضرائب ديفيد غير مسددة ومستحقة، وإذا لم يتم دفعها خلال 24 ساعة القادمة، ستضطر الشرطة إلى إلقاء القبض عليه، كان ديفيد في حالة من الذعر وسأل عما يجب عليه فعله.

ثم أعطاه المتصل رقم هاتف إدارة الضرائب الحكومية المحلية؛ حيث يمكنه التعامل مع ضرائبه المستحقة. أغلق ديفيد الهاتف على الفور ثم اتصل بهذا الرقم، والذي ردت عليه سيدة لطيفة أعلنت انتماءها لإدارة الضرائب المحلية. قدم ديفيد لها معلوماته الكاملة. بعد لحظة، أكدت له أن لديه ضرائب مستحقة بقيمة 1,487.72 دولارًا. إذا دفع فورًا عبر الهاتف باستخدام بطاقته الائتمانية، ستكون قادرة على التعامل مع الوضع ولن يذهب إلى السجن. شعر ديفيد بارتياح كبير وقدم فورًا معلومات بطاقته الائتمانية لها، حيث تمت محاسبتها بالمبلغ الكامل، مخبرة إياه أن كل شيء تم حله.

الهجوم
المشكلة كانت في أن المتصلين لم يكونوا من قسم الشرطة أو من وكالة الضرائب الحكومية، فهما اثنان من المجرمين يعملان معًا لخداع الناس. كانا يتصلان بآلاف الأشخاص عشوائيًّا ويكرران القصة نفسها.  وقد استخدما برمجيات خاصة للتأكد من أن الرقم الذي اتصلا به دائمًا يستخدم رمز المنطقة نفسه كمناطق ضحاياهما، مما يجعل رقم هواتفهما يبدو محليًّا وأكثر موثوقية.

يستخدم هؤلاء المجرمون قصصًا أخرى أيضًا - بدءًا من الادعاء بأن الضمان الخاص بك قد انتهى، إلى توفير قروض تجارية يمكنك الحصول عليها مجانًا، ووصولًا إلى إصلاح جهاز الكمبيوتر الخاص بك. في كثير من الأحيان، يحاولون الحصول على معلومات بطاقتك الائتمانية أو كلمات المرور الخاصة بك، فيحاولون خداعك لتحويل المال إليهم، أو ربما حتى منحهم وصولًا عن بعد إلى جهاز الكمبيوتر الخاص بك.

غالبًا ما يخلق هؤلاء النصّابون إحساسًا هائلًا بالإلحاح أو يعدونك بشيء جيد جدًا لدرجة يصعب تصديقها من أجل خداعك. إنهم يستخدمون العاطفة لدفعك إلى ارتكاب خطأ، وقد يكونون قد جمعوا أيضًا معلومات سابقة عنك سيستخدمونها لإقامة مصداقية.

في الآونة الأخيرة، مع توفر خدمات الذكاء الاصطناعي، يمكن للنصّابين حتى تغيير أصواتهم في مكالمات الهاتف.

ما يمكنك القيام به
هناك عدة خطوات يمكنك اتخاذها على الفور لحماية نفسك:

• قم بضبط هاتفك للسماح بالمكالمات فقط من الأرقام الموثوقة في جهات الاتصال أو دليل العناوين على هاتفك. هذا يجعل أية مكالمة من شخص لا تعرفه ستنتقل مباشرة إلى البريد الصوتي. ومعظم النصابين لن يتعبوا حتى في ترك رسالة صوتية، وبالنسبة لأولئك الذين يفعلون ذلك، فإنه من الأسهل التحقق مما إذا كانت عملية احتيال وحذفها. بالإضافة إلى ذلك، يتوفر لدى بعض مزوّدي الخدمة خدمة فحص المكالمات التي يمكنك تمكينها.

• إذا وجدت نفسك على الهاتف مع شخص لا تعرفه، كن حذرًا. إذا كانوا يضغطون عليك لاتخاذ إجراء، فمن المرجح أنها عملية احتيال. إذا أخبروك أنها مكالمة من بنكك، فأغلق الخط واستخدم رقم هاتف موثوقًا للاتصال ببنكك مرة أخرى، مثل الرقم الموجود على بطاقة البنك الخاصة بك. إذا قالوا إنها مكالمة من الحكومة، انتقل إلى موقع الإدارة الحكومية وابحث عن رقم هاتف موثوق لمعاودة الاتصال به. كلما طالت مدة اتصالك بالهاتف، زادت احتمالية خداعك.

• لا تقدم مطلقًا للمتصل معلومات شخصية أو حساسة يجب أن تكون لديه بالفعل. إذا اتصل بك بنكك، فيجب أن يكون الموظفون يعرفون اسمك، وعنوانك، ورقم حسابك.

المحتالون المعاصرون مثابرون للغاية، ليس لديهم شيء يخسرونه، وكل شيء سيكسبونه. قم بضبط هاتفك لاستقبال المكالمات فقط من جهات الاتصال التي تعرفها وتثق بها، وعند الشك، قم بإغلاق الخط!