اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• فرض غرامة قدرها 325 مليون دولار على شركة Uber لنقل بيانات السائقين من أوروبا إلى الولايات المتحدة.

• هجمات برامج الفدية Cicada3301 تستهدف أنظمة Windows وLinux/ESXi.

• برنامج ضار جديد لنظام Android يسمى NGate يسرق بيانات NFC لاستنساخ بطاقات الدفع بدون تلامس.

• برنامج ضار جديد يتنكر في هيئة شبكة VPN من Palo Alto يستهدف المستخدمين في الشرق الأوسط.

• تؤكد Toyotaتعرض بيانات العملاء لانتهاك أمني من قبل جهة خارجية.

مخاطر وثغرات

• تحذر Google من ثغرة أمنية في Chrome قيد الاستغلال النشط.

• تصحح Microsoft ثغرة أمنية حرجة في Copilot Studio تكشف البيانات الحساسة.

• أصلحت Cisco ثغرة عالية الخطورة في برنامج NX-OS.

• حذرت وكالة CISA من استغلال ثغرة تنفيذ التعليمات عن بُعد (RCE) الحرجة في SolarWinds. 

• ثغرات جديدة في تطبيقات Microsoft على macOS تسمح للمهاجمين بالحصول على وصول غير محدود.

  مؤشرات وإحصائيات:

• نسبة الهجمات حسب القطاعات من عام 2019 إلى عام 2023

   

معلومة أمنية

• الويب المُظلم (Dark web) وعملية فحصه

شاهد:

• إجراءات يجب العمل بها عند التعرض للابتزاز الإلكتروني 

فرض غرامة قدرها 325 مليون دولار على شركة Uber لنقل بيانات السائقين من أوروبا إلى الولايات المتحدة الأمريكية

26 أغسطس 2024
 

فرضت هيئة حماية البيانات الهولندية (Autoriteit Persoonsgegevens, AP) غرامة قدرها 290 مليون يورو (325 مليون دولار أمريكي) على شركة Uber Technologies Inc وشركتها التابعة Uber B.V. بسبب انتهاكات لائحة حماية البيانات العامة (General Data Protection Regulation – GDPR).

اتهمت Uber بنقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية (European Economic Area – EEA) إلى خوادم في الولايات المتحدة دون توفير الضمانات الكافية، وفقًا للفصل الخامس من اللائحة العامة لحماية البيانات.

هذه هي المرة الثالثة التي تفرض فيها هيئة حماية البيانات الهولندية غرامة إدارية على شركة Uber.

أول غرامة كانت بقيمة 600,000 يورو في نوفمبر 2018 بسبب ضعف ضوابط الوصول إلى البيانات. أما الغرامة الثانية فكانت بقيمة 10,000,000 يورو في يناير 2024 بسبب ممارسات Uber الغامضة في إدارة البيانات المتعلقة بمعالجة بيانات الأفراد من الاتحاد الأوروبي.

بدأت هيئة حماية البيانات الهولندية التحقيق في ممارسات Uber بعد شكاوى من السائقين الفرنسيين، والتي أحيلت إلى الهيئة من قبل هيئة حماية البيانات الفرنسية (Commission nationale de l'informatique et des libertés - CNIL).

نشأت المشكلة بعد حكم Schrems II من محكمة العدل الأوروبية الذي ألغى درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة بسبب معايير حماية البيانات غير الكافية في الولايات المتحدة.

ورغم هذا الحكم، استمرت Uber في نقل البيانات الشخصية إلى الولايات المتحدة دون تنفيذ الشروط التعاقدية القياسية (Standard Contractual Clauses - SCCs) أو غيرها من الضمانات، مما يعد انتهاكًا للمادة 44 من اللائحة العامة لحماية البيانات، التي تشترط أن تضمن التحويلات إلى دول ثالثة مستوى حماية يعادل ما هو معمول به داخل الاتحاد الأوروبي.

هذا هو نفس الانتهاك الذي فرضت بسببه مفوضية حماية البيانات الأيرلندية (Data Protection Commission - DPC) غرامة ضخمة بقيمة 1.3 مليار دولار على شركة Meta (فيسبوك). ومؤخرًا، تم تغريم أربع شركات بمبلغ 1.1 مليون دولار من قبل هيئة حماية الخصوصية السويدية (IMY) بسبب انتهاكات مماثلة ناجمة عن استخدام Google Analytics.

أوضحت Uber أن الفصل الخامس من اللائحة العامة لحماية البيانات (GDPR) لا ينطبق عليها، بحجة أن المادة 3 من اللائحة نفسها تمد الحماية إلى أنشطة المعالجة التي تقوم بها في الولايات المتحدة.

بالإضافة إلى ذلك، أكدت الشركة أن نقل البيانات كما هو معرف في اللائحة العامة لحماية البيانات لم يحدث، حيث يقوم السائقون بتقديم بياناتهم مباشرة إلى خوادم Uber في الولايات المتحدة عبر التطبيق.

رفضت هيئة حماية البيانات الهولندية هذه الحجج وقررت فرض الغرامة الكبيرة. 

وأفاد المتحدث باسم Uber: "هذا القرار الخاطئ والغرامة الضخمة غير مبررين تمامًا. كانت عملية نقل البيانات عبر الحدود لـ Uber متوافقة مع اللائحة العامة لحماية البيانات خلال فترة استمرت 3 سنوات من عدم اليقين الكبير بين الاتحاد الأوروبي والولايات المتحدة. سنقوم بالطعن ونظل واثقين من أن المنطق السليم سيسود."

وتؤكد Uber أن ممارساتها في التعامل مع البيانات، كما هو مذكور في إشعار الخصوصية الخاص بها، تتماشى مع اللائحة العامة لحماية البيانات. وتعتبر الشركة تدفق البيانات بين المستخدمين وكذلك بين المستخدمين وUber جزءًا أساسيًا ومتكاملًا من خدماتها.

يمكن أن تستغرق عملية الاستئناف ما يصل إلى 4 سنوات، وخلال هذه الفترة سيتم تعليق الغرامة.

هجمات برامج الفدية Cicada3301 تستهدف أنظمة Windows وLinux/ESXi 

2 سبتمبر 2024

ظهرت مجموعة برامج الفدية الجديدة، Cicada3301، والتي تستهدف أنظمة Windows وLinux/ESXi باستخدام تقنيات تشفير متقدمة. تم رصد المجموعة لأول مرة في يونيو 2024، وقد نالت شهرة بسرعة من خلال إدراج عدة ضحايا على موقع تسريب البيانات الخاص بها.

تم استخدام لغة البرمجة Rust لإنشاء برامج الفدية الخاصة بـ Cicada3301 لأجهزة ESXi، وتعتبر قلة من المجموعات المعروفة قد استخدمت برامج الفدية المكتوبة بهذه اللغة البرمجية. من بين تلك المجموعات السابقة مجموعة Black Cat/ALPHV التي توقفت الآن.
بدأ الهجوم باستخدام المهاجمين بيانات تسجيل دخول شرعية، تمت سرقتها أو الحصول عليها عبر هجوم Brute force، للوصول إلى الأنظمة من خلال ScreenConnect.

منصة برامج الفدية كخدمة (Ransomware-as-a-Service - RaaS):
تعمل Cicada3301 كمنصة تقليدية لبرامج الفدية كخدمة (RaaS)، حيث توفر للشركاء أدوات لابتزاز مزدوج — تشفير البيانات وتهديد بتسريبها ما لم يتم دفع الفدية.

وفقًا لـ Tuesec، تستخدم المجموعة برامج فدية مكتوبة بلغة Rust، وهي لغة معروفة بأدائها وميزات الأمان الخاصة بها، لاستهداف أنظمة Windows وLinux/ESXi.

البرمجية الخبيثة هي ملف ELF تم تجميعه باستخدام Rust، وتحديدًا الإصدار 1.79.0. تم تأكيد استخدام Rust من خلال فحص قسم comment في الملف الثنائي والإشارات النصية إلى نظام بناء Rust، Cargo.

تستخدم البرمجية الخبيثة خوارزمية التشفير ChaCha20، وهو اختيار يتماشى مع برامج الفدية السابقة مثل ALPHV، مما يشير إلى وجود احتمالية لتشابه الكود أو المطورين المشتركين بين الاثنين.

• User interface – UI Parameter: يوفر مخرجات رسومية تعرض تقدم التشفير والإحصائيات.

• No_VM_SS Parameter: تشفر الملفات دون إيقاف تشغيل الآلات الافتراضية، باستخدام أوامر ESXi لحذف اللقطات.

• Key Parameter: ضروري للتشغيل؛ بدون مفتاح صالح، لن تنفذ برنامج الفدية.

تولد البرمجية الخبيثة مفتاحًا متماثلًا باستخدام مولد الأرقام العشوائية OsRng، وتشفير الملفات باستخدام ChaCha20، ثم تشفير مفتاح ChaCha20 باستخدام RSA للتخزين الآمن. يتم إنشاء ملاحظة الفدية في دليل كل ملف مشفر، ويتم تسميتها باستخدام التنسيق “RECOVER-[extension]-DATA.txt”.

الهجوم الأولي: تبدأ هجمات Cicada3301 باستخدام بيانات اعتماد صالحة، غالبًا ما يتم الحصول عليها من خلال هجوم Brute Force أو السرقة، للوصول إلى الأنظمة عبر أدوات مثل ScreenConnect.

العنوان IP المرتبط بهذه الأنشطة مرتبط بشبكة برمجيات البوت نت Brutus، المعروفة بحملات تخمين كلمات المرور. يثير هذا الاتصال احتمال أن تكون Cicada3301 نسخة معاد تسميتها من مجموعة BlackCat/ALPHV السابقة، أو على الأقل تشارك بعض مواردها أو مطوريها.

تُشكل Cicada3301 تهديدًا كبيرًا بسبب تقنيات التشفير المتقدمة التي تستخدمها وقدرتها على استهداف أنظمة تشغيل متعددة. تُنصح المنظمات بتعزيز تدابير الأمن السيبراني، بما في ذلك النسخ الاحتياطي المنتظم للبيانات، وتقسيم الشبكات، وتدريب الموظفين للحد من مخاطر هجمات برامج الفدية.
 

برنامج ضار جديد لنظام Android يسمى NGate يسرق بيانات NFC لاستنساخ بطاقات الدفع بدون تلامس 

26 أغسطس 2024

كشف الباحثون في الأمن السيبراني عن برمجية خبيثة جديدة لنظام Android يمكنها نقل بيانات الدفع بدون تلامس من بطاقات الائتمان والخصم البنكي المادية إلى جهاز خاضع لسيطرة المهاجم بهدف إجراء عمليات احتيالية.

تتبع شركة الأمن السيبراني السلوفاكية البرمجية الخبيثة الجديدة تحت اسم NGate، وذكرت أنها رصدت حملة الجريمة الإلكترونية التي تستهدف ثلاثة بنوك في جمهورية التشيك.

وأفاد الباحثون Lukáš Štefanko   وJakub Osmani في تحليلهم: "تمتلك البرمجية الخبيثة القدرة الفريدة على نقل بيانات بطاقات الدفع من الضحايا، عبر تطبيق ضار مثبت على أجهزتهم التي تعمل بنظام Android، إلى هاتف Android Root الذي يتحكم فيه المهاجم."

تعد هذه الأنشطة جزءًا من حملة أوسع تم اكتشافها تستهدف المؤسسات المالية في التشيك منذ نوفمبر 2023 باستخدام تطبيقات الويب التقدمية (PWAs) وWebAPKs الخبيثة. وتم تسجيل أول استخدام لـ NGate في مارس 2024.

الهدف النهائي للهجمات هو نسخ بيانات الاتصال قريب المدى (near-field communication – NFC) من بطاقات الدفع الفعلية للضحايا باستخدام NGate ونقل المعلومات إلى جهاز المهاجم الذي يحاكي البطاقة الأصلية لسحب الأموال من ماكينة الصراف الآلي.

يستند NGate إلى أداة شرعية تُدعى NFCGate، والتي تم تطويرها في الأصل في عام 2015 لأغراض البحث الأمني من قبل طلاب مختبر الشبكات المحمولة الآمنة في جامعة TU Darmstadt.

يُعتقد أن سلاسل الهجمات تشمل مزيجًا من الهندسة الاجتماعية وتصيد الرسائل القصيرة لخداع المستخدمين لتثبيت NGate، من خلال توجيههم إلى نطاقات قصيرة الأمد تتنكر كمواقع مصرفية شرعية أو تطبيقات مصرفية رسمية متاحة على متجر Google Play.

تم التعرف على ما يصل إلى ست تطبيقات مختلفة لـ NGate حتى الآن بين نوفمبر 2023 ومارس 2024، عندما توقفت الأنشطة على الأرجح بعد اعتقال السلطات التشيكية لشاب يبلغ من العمر 22 عامًا في ارتباط بسرقة أموال من أجهزة الصراف الآلي.

يستفيد NGate، بالإضافة إلى استغلال وظيفة NFCGate لالتقاط حركة مرور NFC ونقلها إلى جهاز آخر، من مطالبة المستخدمين بإدخال معلومات مالية حساسة، بما في ذلك معرف العميل المصرفي، وتاريخ الميلاد، ورمز PIN لبطاقة البنك الخاصة بهم. يتم تقديم صفحة التصيد داخل WebView.

وأفاد الباحثون: "يطلب أيضًا من المستخدمين تشغيل ميزة NFC على هواتفهم الذكية." وأضافوا: "ثم يُطلب من الضحايا وضع بطاقة الدفع الخاصة بهم على الجزء الخلفي من هواتفهم الذكية حتى يتعرف التطبيق الضار على البطاقة."

تتبنى الهجمات نهجًا خبيثًا حيث، بعد تثبيت تطبيق PWA أو WebAPK عبر الروابط المرسلة من خلال رسائل SMS، يتم تصيد بيانات الاعتماد الخاصة بالضحايا ثم يتلقون مكالمات من المهاجم، الذي يتظاهر بأنه موظف بنك ويبلغهم بأن حسابهم المصرفي قد تم اختراقه نتيجة لتثبيت التطبيق.

يتم بعد ذلك توجيههم لتغيير رمز PIN وتوثيق بطاقة البنك الخاصة بهم باستخدام تطبيق موبايل آخر (أي، NGate)، ويتم إرسال رابط التثبيت لهذا التطبيق أيضًا عبر SMS. لا توجد أدلة على أن هذه التطبيقات تم توزيعها من خلال متجر Google Play.

في بيان، أكدت جوجل أنها لم تجد أي تطبيق يحتوي على البرمجيات الخبيثة في السوق الرسمية لنظام Android. كما قالت الشركة إن المستخدمين محميون تلقائيًا ضد الإصدارات المعروفة من NGate عبر Google Play Protect، الذي يتم تمكينه افتراضيًا على أجهزة Android التي تحتوي على خدمات Google Play، حتى عند تنزيل التطبيقات من مصادر خارجية.

وأوضح الباحثون: "يستخدم NGate خادمين متميزين لتسهيل عملياته. 

• الأول، هو موقع تصيد مصمم لجذب الضحايا لتقديم معلومات حساسة وقادر على بدء هجوم إعادة إرسال NFC.  

• الثاني، هو خادم إعادة إرسال NFCGate المسؤول عن إعادة توجيه حركة مرور NFC من جهاز الضحية إلى جهاز المهاجم."

يأتي هذا الكشف في الوقت الذي سلطت فيه Zscaler ThreatLabz الضوء على نوع جديد من برمجيات الفدية المعروفة باسم Copybara، والتي تُنشر عبر هجمات التصيد الصوتي (vishing) وتجذب الضحايا لإدخال بيانات اعتماد حساباتهم المصرفية.

أفادت Ruchna Nigam: "هذا النوع الجديد من Copybara نشط منذ نوفمبر 2023، ويستخدم بروتوكول MQTT لإقامة اتصال مع خادم القيادة والتحكم (C2) الخاص به." وأضافت: "تستغل البرمجيات الخبيثة ميزة خدمة الوصول المدمجة في أجهزة Android للسيطرة الدقيقة على الجهاز المصاب. وفي الخلفية، تقوم البرمجيات أيضًا بتحميل صفحات تصيد تقلد بورصات العملات المشفرة والمؤسسات المالية الشهيرة باستخدام شعاراتها وأسماء تطبيقاتها."

برنامج ضار جديد يتنكر في هيئة شبكة VPN من Palo Alto يستهدف المستخدمين في الشرق الأوسط

30 أغسطس 2024

 كشف باحثون في مجال الأمن السيبراني عن حملة جديدة تستهدف المستخدمين في منطقة الشرق الأوسط عبر برمجية خبيثة تتنكر كأداة الشبكة الافتراضية الخاصة (VPN) من Palo Alto Networks، والمعروفة باسم GlobalProtect.

أفاد الباحث محمد فهمي من شركة Trend Micro في تقرير تقني: "البرمجية الخبيثة قادرة على تنفيذ أوامر PowerShell عن بُعد، وتنزيل وتسريب الملفات، وتشفير الاتصالات، وتجاوز حلول صندوق الاختبارات sandbox، مما يمثل تهديدًا كبيرًا للمنظمات المستهدفة."

وقد تمت ملاحظة أن العينة المعقدة من البرمجية الخبيثة تستخدم عملية مكونة من مرحلتين وتتضمن إعداد اتصالات بالبنية التحتية للتحكم والسيطرة (C2) التي تدعي أنها بوابة VPN للشركة، مما يسمح للجهات المهاجمة بالعمل بحرية دون إثارة أي إنذارات.

ناقل الاختراق غير معروف حاليًّا، على الرغم من الاشتباه في أنه يتضمن استخدام تقنيات التصيد الاحتيالي لخداع المستخدمين ليعتقدوا أنهم يقومون بتثبيت وكيل GlobalProtect ولم تُنسب هذه الأنشطة إلى جهة تهديد محددة أو مجموعة معينة.

نقطة البداية هي ملف تنفيذي باسم setup.exe يقوم بنشر مكون الباب الخلفي الأساسي المسمى GlobalProtect.exe، والذي عند تثبيته يبدأ عملية إرسال إشارات تنبيهية إلى المشغلين حول تقدم العملية.

المكون التنفيذي للمرحلة الأولى مسؤول أيضًا عن تنزيل ملفين إضافيين للتكوين (RTime.conf وApProcessId.conf) واللذين يُستخدمان في تسريب معلومات النظام إلى خادم تحكم وسيطرة (C2) بعنوان IP (94.131.108[.]78)، وتشمل المعلومات المسربة عنوان IP للضحية، ومعلومات نظام التشغيل، واسم المستخدم، واسم الجهاز، وتسلسل زمن السكون.

وأشار فهمي إلى أن "البرمجية الخبيثة تطبق تقنية للتخفي لتجاوز تحليل السلوك وحلول صندوق الاختبارات sandbox عن طريق التحقق من مسار ملف العملية والملف المحدد قبل تنفيذ الكود الرئيس".

يعمل الباب الخلفي كقناة لتحميل الملفات، وتنزيل الحمولة التالية، وتنفيذ أوامر PowerShell. ويتم إرسال الإشارات إلى خادم التحكم والسيطرة من خلال مشروع Interactsh مفتوح المصدر.

كما أضاف فهمي: "البرمجية الخبيثة تنتقل إلى عنوان URL جديد مسجل حديثًا، 'sharjahconnect' (في إشارة محتملة إلى إمارة الشارقة في الإمارات العربية المتحدة)، وهو مصمم ليشبه بوابة VPN شرعية لشركة مقرها في الإمارات العربية المتحدة."

"تم تصميم هذا التكتيك للسماح لأنشطة البرمجية الخبيثة بالاندماج مع حركة المرور الشبكية المتوقعة في المنطقة وتعزيز خصائصها في التهرب من الكشف."

تؤكد Toyota تعرض بيانات العملاء لانتهاك أمني من قبل جهة خارجية

19 أغسطس 2024

أكدت Toyota تعرض بيانات العملاء للاختراق من قبل جهة خارجية بعد أن سربت إحدى الجهات الفاعلة المهددة أرشيفًا يحتوي على 240 جيجابايت من البيانات المسروقة على منتدى قرصنة.

أفادت Toyota عندما طُلب منها التحقق من صحة ادعاءات الجهة الفاعلة المهددة: "نحن على علم بالموقف. المشكلة محدودة النطاق وليست مسألة نظام بأكمله."

وأضافت الشركة أنها "تواصلت مع المتضررين وسيوفرون المساعدة إذا لزم الأمر"، لكنها لم تقدم بعد معلومات حول متى اكتشفت الاختراق، وكيفية حصول المهاجم على الوصول، وعدد الأشخاص الذين تعرضت بياناتهم للانتهاك في الحادث.

بعد يوم من التأكيد الأول، أوضح المتحدث باسم Toyota في بيان جديد تمت مشاركته أن أنظمة Toyota Motor North America "لم تتعرض للاختراق أو التهديد"، وأن البيانات المسروقة جاءت من "جهة خارجية يُعتقد أنها تمثل Toyota بشكل خاطئ."

عند الاستفسار عن اسم الجهة الخارجية التي تعرضت للاختراق، قال المتحدث إن Toyota Motor North America "ليست في موقف يسمح لها بالكشف" عن هذه المعلومات.

بيانات الموظفين والعملاء المكشوفة:

تدعي مجموعة ZeroSevenGroup (المهاجمون الذين سربوا البيانات المسروقة) أنهم اخترقوا فرعًا في الولايات المتحدة وتمكنوا من سرقة 240 جيجابايت من الملفات التي تحتوي على معلومات حول موظفي وعملاء Toyota، بالإضافة إلى عقود ومعلومات مالية.

كما يدعون أنهم جمعوا معلومات عن بنية الشبكة، بما في ذلك بيانات اعتماد، باستخدام أداة ADRecon مفتوحة المصدر التي تساعد في استخراج كميات كبيرة من المعلومات من بيئات Active Directory.

أعلن المهاجمون: "لقد اخترقنا فرعًا في الولايات المتحدة لأحد أكبر مصنعي السيارات في العالم (Toyota). نحن سعداء جدًا بمشاركة الملفات معكم هنا مجانًا. حجم البيانات: 240 جيجابايت."

ويضيفون: "المحتويات: كل شيء مثل جهات الاتصال، والتمويل، والعملاء، والمخططات، والموظفين، والصور، وقواعد البيانات، وبنية الشبكة، والبريد الإلكتروني، والعديد من البيانات الدقيقة. نحن نقدم أيضًا AD-Recon لجميع الشبكات المستهدفة مع كلمات المرور."

بينما لم تشارك Toyota تاريخ الاختراق، وجد أن الملفات المسروقة تمت سرقتها أو على الأقل إنشاؤها في 25 ديسمبر 2022. قد يشير هذا التاريخ إلى أن المهاجم حصل على الوصول إلى خادم النسخ الاحتياطي حيث تم تخزين البيانات.

في ديسمبر الماضي، حذرت Toyota من خلال فرعها Toyota Financial Services (TFS) العملاء من تعرض بياناتهم الشخصية والمالية الحساسة للاختراق نتيجة لهجوم برامج الفدية Medusa الذي أثر على أقسام الشركة في أوروبا وإفريقيا في نوفمبر.

قبل ذلك بعدة أشهر، في مايو، كشفت Toyota عن اختراق بيانات آخر وكشفت أن معلومات موقع السيارة لـ 2,150,000 عميل تعرضت للكشف على مدى عشر سنوات، بين 6 نوفمبر 2013 و17 أبريل 2023، بسبب سوء تكوين قاعدة بيانات في بيئة السحابة الخاصة بالشركة.

بعد أسابيع، اكتشفت Toyota أيضًا خدمتين سحابيتين إضافيتين تم تكوينهما بشكل غير صحيح مما تسبب في تسرب معلومات العملاء الشخصية لـ Toyota لأكثر من سبع سنوات.

بعد هذين الحادثين، أعلنت Toyota أنها نفذت نظامًا آليًا لمراقبة تكوينات السحابة وإعدادات قواعد البيانات في جميع بيئاتها لمنع مثل هذه التسريبات في المستقبل.

كما تعرضت عدة فروع مبيعات لـ Toyota وLexus للاختراق في عام 2019 عندما قام المهاجمون بسرقة وتسريب ما وصفته الشركة في ذلك الوقت بـ "ما يصل إلى 3.1 ملايين عنصر من معلومات العملاء."
 

تحذر Google من ثغرة أمنية في Chrome قيد الاستغلال النشط

27 أغسطس 2024

كشفت شركة Google أن هناك ثغرة أمنية تم تصحيحها كجزء من تحديث لبرنامج تم طرحه الأسبوع الماضي لمتصفح Chrome الخاص بها قد تعرضت للاستغلال النشط.

تم تتبع الثغرة تحت CVE-2024-7965، ووُصفت بأنها خلل في التنفيذ غير المناسب في محرك V8 لـ JavaScript وWebAssembly.

وفقًا لوصف الثغرة في قاعدة البيانات الوطنية للثغرات الأمنية (National Vulnerability Database - NVD) التابعة للمعهد الوطني للمعايير والتكنولوجيا (National Institute of Standards and Technology – NIST) "السماح لمهاجم عن بُعد بالاستغلال المحتمل لخلل في ذاكرة (heap corruption) عبر صفحة HTML مصممة خصيصًا في V8  في Google Chrome قبل الإصدار."128.0.6613.84

تم منح الفضل لاكتشاف الثغرة والإبلاغ عنها إلى باحث أمني يستخدم الاسم المستعار على الإنترنت TheDog، والذي حصل على مكافأة مالية قدرها 11000 دولار في 30 يوليو 2024.

لم يتم إصدار تفاصيل إضافية حول طبيعة الهجمات التي تستغل الثغرة أو هوية الجهات الفاعلة التي قد تكون تستغلها. ومع ذلك، اعترفت الشركة التقنية بأنها على علم بوجود استغلال للثغرة الأمنية CVE-2024-7965.

وأفادت أيضًا: "تم الإبلاغ عن استغلال الثغرة الأمنية CVE-2024-7965 بعد هذا الإصدار. ومع ذلك، ليس من الواضح حاليًّا ما إذا كانت الثغرة قد تم استغلالها كأداة هجومية (zero-day) قبل الكشف عنها الأسبوع الماضي.

حتى الآن، عالجت Google تسع ثغرات أمنية من نوع zero-day في Chrome منذ بداية عام 2024، بما في ذلك ثلاث منها تم عرضها في Pwn2Own 2024:

• CVE-2024-0519 - وصول إلى الذاكرة خارج النطاق في V8

• CVE-2024-2886 - استخدام بعد التحرير في WebCodecs (تم عرضه في Pwn2Own 2024)

• CVE-2024-2887 - ارتباك في نوع البيانات في WebAssembly (تم عرضه في Pwn2Own 2024)

• CVE-2024-3159 - الوصول إلى الذاكرة خارج النطاق في V8 (تم عرضه في Pwn2Own 2024)

• CVE-2024-4671 - استخدام بعد التحرير في Visuals

• CVE-2024-4761 - كتابة خارج النطاق في V8

• CVE-2024-4947 - ارتباك في نوع البيانات في V8

• CVE-2024-5274 - ارتباك في نوع البيانات في V8

• CVE-2024-7971 - ارتباك في نوع البيانات في V8

يوصى بشدة للمستخدمين بالترقية إلى إصدار Chrome 128.0.6613.84/.85 لنظامي Windows وmacOS، وإصدار 128.0.6613.84 لنظام Linux لتقليل التهديدات المحتملة.

تصحح Microsoft ثغرة أمنية حرجة في Copilot Studio تكشف البيانات الحساسة

 21 أغسطس 2024
 
 
 

"كشف باحثو الأمن السيبراني عن ثغرة أمنية حرجة تؤثر على Microsoft Copilot Studio قد تُستغل للوصول إلى معلومات حساسة.

تم تتبع الثغرة تحت الرمز CVE-2024-38206 تقييم (CVSS: 8.5)، ووُصفت بأنها خلل في الكشف عن المعلومات ينجم عن هجوم تزوير الطلبات من جانب الخادم (server-side request forgery - SSRF).

أعلنت مايكروسوفت في بيان صادر في 6 أغسطس 2024: "يمكن للمهاجم المعتمد تجاوز حماية تزوير الطلبات من جانب الخادم (SSRF) في Microsoft Copilot Studio لتسريب معلومات حساسة عبر الشبكة."

كما أفادت الشركة أيضًا أن الثغرة الأمنية قد تمت معالجتها وأنه لا يتطلب أي إجراء من العملاء.

أفاد الباحث الأمني في Tenable، Evan Grant، الذي يُعزى إليه اكتشاف الثغرة والإبلاغ عنها، أنه يستفيد من قدرة Copilot على إجراء طلبات ويب خارجية.

أعلن Grant "بالاقتران مع تجاوز حماية SSRF المفيدة، استخدمنا هذه الثغرة للوصول إلى البنية التحتية الداخلية لمايكروسوفت لـ Copilot Studio، بما في ذلك خدمة بيانات التعريف الخاصة بالمثيلات (Instance Metadata Service - IMDS) ونسخ Cosmos DB الداخلية".

بمعنى آخر، جعلت تقنية الهجوم من الممكن استرجاع بيانات التعريف الخاصة بالمثيلات في رسالة دردشة Copilot، واستخدامها للحصول على رموز الوصول إلى الهوية المدارة، والتي يمكن استغلالها للوصول إلى موارد داخلية أخرى، بما في ذلك الحصول على إذن للقراءة/الكتابة إلى مثيل Cosmos DB.

أشارت شركة الأمن السيبراني إلى أنه بينما لا تتيح الطريقة الوصول إلى معلومات عبر المستأجرين، فإن البنية التحتية التي تدعم خدمة Copilot Studio تشارك بين المستأجرين، مما قد يؤثر على عملاء متعددين عند الحصول على وصول مرتفع إلى البنية التحتية الداخلية لمايكروسوفت.

يأتي الكشف في الوقت الذي قدمت فيه Tenable تفاصيل عن ثغرتين أمنيتين تم تصحيحهما الآن في خدمة Azure Health Bot الخاصة بمايكروسوفت (CVE-2024-38109، تقييم CVSS: 9.1)، والتي، إذا استُغلت، قد تسمح لجهة خبيثة بتحقيق حركة جانبية داخل بيئات العملاء والوصول إلى بيانات المرضى الحساسة.

يأتي ذلك بعد إعلان مايكروسوفت أنها ستطلب من جميع عملاء Microsoft Azure تفعيل المصادقة متعددة العوامل (multi-factor authentication - MFA) على حساباتهم بدءًا من أكتوبر 2024 كجزء من مبادرة Secure Future (SFI).

أفادت Redmond "سيتطلب الأمر المصادقة متعددة العوامل لتسجيل الدخول إلى بوابة Azure، ومركز إدارة Microsoft Entra، ومركز إدارة Intune. سيتم تنفيذ هذا بشكل تدريجي ليشمل جميع المستأجرين في جميع أنحاء العالم."

"بدءًا من أوائل عام 2025، ستبدأ المرحلة التدريجية لتنفيذ MFA عند تسجيل الدخول إلى Azure CLI، وAzure PowerShell، وتطبيق Azure المحمول، وأدوات البنية التحتية ككود (IaC)."

أصلحت Cisco ثغرة عالية الخطورة في برنامج NX-OS

29 أغسطس 2024

أصلحت Cisco عدة ثغرات تؤثر على نظام NX-OS، بما في ذلك ثغرة عالية الخطورة في وكيل إعادة توجيه DHCPv6.

أصدرت Cisco تحديثات أمان لنظام NX-OS لمعالجة عدة ثغرات. 

أخطر الثغرات التي تم إصلاحها من قبل الشركة هي مشكلة عالية الخطورة تتبع كـ CVE-2024-20446. تؤثر الثغرة على وكيل إعادة توجيه DHCPv6 في NX-OS، حيث يمكن للمهاجم تفعيل الثغرة للتسبب في حالة رفض الخدمة (DoS).

"تعود هذه الثغرة إلى المعالجة غير الصحيحة لحقول معينة في رسالة DHCPv6 RELAY-REPLY. يمكن للمهاجم استغلال هذه الثغرة عن طريق إرسال حزمة DHCPv6 مصممة إلى أي عنوان IPv6 على جهاز متأثر. "وفقاً للإشعار. "قد يسمح الاستغلال الناجح للمهاجم بتسبب في تعطل عملية dhcp_snoop وإعادة تشغيلها عدة مرات، مما يؤدي إلى إعادة تحميل الجهاز المتأثر وينتج عنه حالة رفض الخدمة DoS".

تؤثر الثغرة على مفاتيح Cisco Nexus 3000 و7000، وكذلك مفاتيح Nexus 9000 التي تعمل في وضع NX-OS المستقل. ومع ذلك، فإن الخطر موجود فقط تحت ظروف معينة: يجب أن يكون الجهاز له عنوان IPv6 واحد على الأقل، ويعمل على إصدار برنامج Cisco NX-OS 8.2(11) أو 9.3(9) أو 10.2(1)، ويجب أن يكون وكيل إعادة توجيه DHCPv6 مفعلًا. كل هذه العوامل مجتمعة تجعل الأجهزة عرضة للثغرة التي تم تحديدها.

أشارت الشركة إلى أنه لا توجد حلول بديلة تعالج هذه الثغرة.

فريق استجابة حوادث أمان منتجات Cisco (Product Security Incident Response Team - PSIRT) ليس على علم بهجمات تستغل هذه الثغرة.

حذرت وكالة CISA من استغلال ثغرة تنفيذ التعليمات عن بُعد (RCE) الحرجة في SolarWinds 

16 أغسطس 2024


  

"حذرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) من أن المهاجمين يستغلون ثغرة حرجة تم تصحيحها مؤخرًا في حل Web Help Desk الخاص بـ SolarWinds لدعم العملاء.

يُعد Web Help Desk (WHD) برنامجًا لإدارة خدمات الدعم الفني لتكنولوجيا المعلومات يستخدم على نطاق واسع من قبل الشركات الكبيرة والوكالات الحكومية والمنظمات الصحية والتعليمية حول العالم لتوحيد وأتمتة وتبسيط مهام إدارة الدعم الفني.

تم تتبع الثغرة الأمنية المسجلة تحت الرمز CVE-2024-28986، وهي ثغرة أمنية في Java تتيح للمهاجمين تنفيذ التعليمات البرمجية عن بُعد على الخوادم الضعيفة وتشغيل أوامر على الجهاز المضيف بعد استغلالها بنجاح." 

أصدرت شركة SolarWinds تصحيحًا سريعًا للثغرة الأمنية، قبل يوم واحد من تحذير وكالة الأمن السيبراني وأمن البنية التحتية (CISA). ومع ذلك، لم تكشف الشركة عن أية معلومات حول استغلالها في الهجمات الفعلية، على الرغم من أنها أوصت جميع المسؤولين بتطبيق التصحيح على الأجهزة الضعيفة.

وأفادت شركة SolarWinds: "بينما تم الإبلاغ عن هذه الثغرة باعتبارها ثغرة غير معتمدة، لم تتمكن SolarWinds من إعادة إنتاجها بدون توثيق بعد إجراء اختبارات شاملة. ومع ذلك، وبناءً على الحذر الشديد، نوصي جميع عملاء Web Help Desk بتطبيق التصحيح المتاح الآن."

"لا ينبغي تطبيق الإصلاح السريع WHD 12.8.3 Hotfix 1 إذا كان يتم استخدام تسجيل الدخول الأحادي (Single Sign-On - SSO) عبر بروتوكول Security Assertion Markup Language - SAML. سيتم إصدار تصحيح جديد قريبًا لحل هذه المشكلة."

نشرت SolarWinds أيضًا مقال دعم يتضمن تعليمات مفصلة حول تطبيق وإزالة الإصلاح السريع، محذرة من أن المسؤولين يجب أن يقوموا بترقية الخوادم الضعيفة إلى Web Help Desk 12.8.3.1813 قبل تثبيت التصحيح السريع.

توصي الشركة بإنشاء نسخ احتياطية من الملفات الأصلية قبل استبدالها أثناء عملية التثبيت لتجنب المشكلات المحتملة في حال فشل نشر التصحيح السريع أو عدم تطبيقه بشكل صحيح.

أضافت وكالة CISA الثغرة الأمنية المسجلة تحت الرمز CVE-2024-28986 إلى كتالوج الثغرات الأمنية المعروفة (Known Exploited Vulnerabilities – KEV) الخاص بها، وفرضت على الوكالات الفيدرالية تصحيح خوادم Web Help Desk الخاصة بها في غضون ثلاثة أسابيع، حتى 5 سبتمبر، وفقًا لتوجيه العمليات الفيدرالية الملزمة (BOD) 22-01.

في وقت سابق من هذا العام، قامت SolarWinds أيضًا بتصحيح أكثر من اثنتي عشرة ثغرة خطيرة في تنفيذ التعليمات البرمجية عن بُعد (remote code execution - RCE) في برنامج إدارة حقوق الوصول (Access Rights Manager - ARM) الخاص بها، ثماني منها في يوليو وخمس في فبراير.

 حذرت شركة الأمن السيبراني GreyNoise من أن الجهات المهاجمة كانت تستغل بالفعل ثغرة تجاوز المسار في SolarWinds Serv-U، بعد أسبوعين فقط من إصدار SolarWinds تصحيحًا سريعًا وبعد أيام من نشر استغلالات إثبات المفهوم (proof-of-concept - PoC) عبر الإنترنت.

أعلنت شركة SolarWinds أن منتجات إدارة تكنولوجيا المعلومات الخاصة بها تُستخدم من قبل أكثر من 300,000 عميل حول العالم.
 

ثغرات جديدة في تطبيقات Microsoft على macOS تسمح للمهاجمين بالحصول على وصول غير محدود

3 سبتمبر 2024

تم اكتشاف ثماني ثغرات في تطبيقات Microsoft لأنظمة macOS يمكن للمهاجم استغلالها للحصول على امتيازات مرتفعة أو الوصول إلى بيانات حساسة من خلال تجاوز نموذج الصلاحيات القائم على نظام التشغيل، والذي يعتمد على إطار العمل الشفاف والموافقة والتحكم (Transparency, Consent, and Control - TCC).

وأفادت شركة Cisco Talos: "إذا نجح الهجوم، يمكن للمهاجم الحصول على أي امتيازات تم منحها بالفعل للتطبيقات المتأثرة من Microsoft". وأضافت: "على سبيل المثال، يمكن للمهاجم إرسال رسائل بريد إلكتروني من حساب المستخدم دون أن يلاحظ المستخدم، أو تسجيل مقاطع صوتية، أو التقاط صور، أو تسجيل مقاطع فيديو دون أي تفاعل من المستخدم".

تشمل الثغرات العديد من التطبيقات مثل Outlook وTeams وWord وExcel وPowerPoint وOneNote.

وأوضحت شركة الأمن السيبراني أنه يمكن حقن مكتبات ضارة في هذه التطبيقات للحصول على الامتيازات والصلاحيات التي منحها المستخدم، والتي يمكن استخدامها لاستخراج معلومات حساسة حسب نوع الوصول الممنوح لكل من تلك التطبيقات.

Transparency, Consent, and Control - TCC هو إطار عمل تم تطويره بواسطة Apple لإدارة الوصول إلى بيانات المستخدم الحساسة على نظام macOS، مما يمنح المستخدمين شفافية إضافية حول كيفية وصول التطبيقات المختلفة المثبتة على الجهاز إلى بياناتهم واستخدامها.

يتم الحفاظ على ذلك في شكل قاعدة بيانات مشفرة تسجل الأذونات الممنوحة من قبل المستخدم لكل تطبيق، وذلك لضمان تنفيذ تفضيلات المستخدم بشكل متسق عبر النظام.

أفادت شركة Huntress في شرحها لإطار TCC: "يعمل TCC بالتزامن مع ميزة وضع الحماية للتطبيقات في macOS وiOS". "وضع الحماية يحد من وصول التطبيق إلى النظام والتطبيقات الأخرى، مضيفًا طبقة إضافية من الأمان. يضمن TCC أن التطبيقات يمكنها الوصول فقط إلى البيانات التي تلقت موافقة صريحة من المستخدم للوصول إليها."

يعد وضع الحماية أيضًا إجراءً مضادًا يحمي من حقن التعليمات البرمجية، وهي تقنية تسمح للمهاجمين الذين لديهم وصول إلى الجهاز بإدخال تعليمات برمجية ضارة في العمليات الشرعية والوصول إلى البيانات المحمية.

قال الباحث Francesco Benvenuto في Talos: "حقن المكتبات، والمعروف أيضًا باسم Dylib Hijacking في سياق macOS، هو تقنية يتم من خلالها إدخال تعليمات برمجية في العملية الجارية لتطبيق معين". وأضاف: "يواجه macOS هذا التهديد بميزات مثل زمن التشغيل hardened runtime، مما يقلل من احتمال تنفيذ المهاجم تعليمات برمجية عشوائية من خلال عملية تطبيق آخر".

"ومع ذلك، إذا تمكن المهاجم من حقن مكتبة في مساحة عملية تطبيق جار، يمكن لتلك المكتبة استخدام جميع الأذونات التي تم منحها بالفعل للعملية، وبالتالي تعمل نيابة عن التطبيق نفسه."

ومع ذلك، من المهم ملاحظة أن هجمات من هذا النوع تتطلب أن يكون لدى الجهة المهاجمة مستوى معين من الوصول إلى الجهاز المخترق بالفعل، بحيث يمكن استغلاله لفتح تطبيق ذي صلاحيات أعلى وحقن مكتبة ضارة، مما يمنحهم فعليًا الأذونات المرتبطة بالتطبيق المستغل.

بمعنى آخر، إذا تم اختراق تطبيق موثوق من قبل مهاجم، يمكن استغلاله لإساءة استخدام الأذونات الخاصة به والحصول على وصول غير مبرر إلى معلومات حساسة دون موافقة المستخدمين أو علمهم.

يمكن أن يحدث هذا النوع من الخرق عندما يقوم تطبيق بتحميل مكتبات من مواقع يمكن للمهاجم التلاعب بها، ويكون قد عطل التحقق من صحة المكتبة من خلال منح إذن محفوف بالمخاطر (أي تم ضبطه على true)، والذي يحد عادة من تحميل المكتبات الموقعة فقط من قبل مطور التطبيق أو Apple.

أفاد Benvenuto: "يضع macOS ثقته في التطبيقات لضبط أذوناتها بنفسها. وفشل هذه المسؤولية يؤدي إلى اختراق كامل لنموذج الأذونات، حيث تعمل التطبيقات عن غير قصد كوسيط لأفعال غير مصرح بها، متجاوزة TCC ومهددة لنموذج أمان النظام".

من جانبها، تعتبر Microsoft أن المشكلات التي تم تحديدها "منخفضة المخاطر"، وأن التطبيقات تحتاج إلى تحميل مكتبات غير موقعة لدعم الإضافات. ومع ذلك، تدخلت الشركة لحل المشكلة في تطبيقي OneNote وTeams.

وأفاد Benvenuto: "التطبيقات المعرضة للخطر تترك الباب مفتوحًا للمهاجمين لاستغلال جميع الأذونات الممنوحة للتطبيقات، وإعادة استخدام جميع الأذونات الممنوحة للتطبيق دون أي إشعارات للمستخدم، مما يجعلها وسيطًا للأذونات لصالح المهاجم".

وأضاف: "من المهم أيضًا الإشارة إلى أنه من غير الواضح كيفية التعامل بشكل آمن مع مثل هذه الإضافات في إطار العمل الحالي لنظام macOS. يعد التحقق من صحة المكونات الإضافية الخارجية هو خيار، وإن كان معقدًا، وسيتطلب ذلك من Microsoft أو Apple توقيع وحدات خارجية بعد التحقق من أمانها".

• نسبة الهجمات حسب القطاعات من عام 2019 إلى عام 2023

   
  

الويب المظلم (Dark web) وعملية فحصه 

الويب المظلم هو اسم جماعي لمجموعة متنوعة من المواقع والأسواق التي تجمع بين الأفراد الراغبين في الانخراط في أنشطة غير قانونية أو مشبوهة. لا يمكن الوصول إليها من خلال المتصفحات التقليدية وليست مفهرسة من قبل محركات البحث مثل جوجل. جزء كبير من الويب المظلم يتداول المعلومات المسروقة، بما في ذلك البيانات الشخصية التي يتم جمعها من اختراقات البيانات أو بمساعدة برامج سرقة المعلومات، وجرائم إلكترونية أخرى. يمكن أن يكون لهذا تأثير كبير ليس فقط على المستخدم العادي، ولكن على الشركات وحتى البلدان بأكملها، مع المعلومات الشخصية وربما المالية المسروقة على مواقع الويب المظلم. هذه التهديدات حقيقية، ولهذا السبب يمكن أن يكون فحص الويب المظلم جزءًا مهمًا من حماية هويات مستخدمي الإنترنت العاديين.

هل يمكن أن تنتهي معلوماتي على الويب المظلم؟

الجواب البسيط هو أن جميع مستخدمي الإنترنت معرضون لخطر تسريب تفاصيلهم إلى الجانب المظلم من الويب، حتى وإن لم يصلوا إليه بأنفسهم. ذلك لأن أي شخص يمكن أن يقع ضحية لهجمات تصيد أو برمجيات خبيثة، من خلالها يمكن للمهاجمين جمع بيانات مثل كلمات المرور والهويات ومعلومات بطاقات الائتمان. في بعض الحالات، قد يسرق المهاجمون هذه البيانات من الشركات التي تجمع وتخزن المعلومات الشخصية لأغراض الإعلان والتسويق. في كلتا الحالتين، بعد جمع كل هذه المعلومات، يجعل المهاجمون هذه البيانات متاحة للآخرين على الويب المظلم.

ما فحص الويب المظلم؟

ببساطة، يتيح فحص الويب المظلم لمستخدمي الإنترنت اكتشاف ما إذا كانت معلوماتهم الشخصية قد أصبحت متاحة على الويب المظلم. تقوم هذه الأدوات الرقمية بالبحث في الويب المظلم - تحديدًا، من خلال القوائم المأخوذة من اختراقات البيانات المعروفة - للتحقق مما إذا كانت بيانات المستخدم قد تم تحميلها. إذا اكتشفت الأداة أي معلومات للمستخدم على الويب المظلم، فإنها تنبه المستخدم، مما يتيح له اتخاذ الخطوات العلاجية المناسبة.

على الرغم من أنها يمكن أن تكون مفيدة في حماية البيانات الشخصية وخصوصية المستخدم، من المهم ملاحظة أن أدوات فحص الويب المظلم يمكنها فقط القيام بقدر معين. ذلك لأنه مهما كانت قوة أداة فحص الويب المظلم، من المستحيل لأي ماسح أن يفحص كل جزء من الويب المظلم؛ لأن العديد من المواقع على هذا الجانب من الإنترنت تظل خاصة وغير قابلة للوصول. وبالتالي، من المهم أن يظل مستخدمو الإنترنت يقظين بشأن بياناتهم على الإنترنت، على سبيل المثال، من خلال استخدام شبكات VPN وبرامج مكافحة الفيروسات والحفاظ على عادات جيدة في مشاركة المعلومات على الويب.

تتمكن فحوصات الويب المظلم أيضًا من تحديد أنواع مختلفة من الأنشطة الإجرامية، التي يُعرف بها الويب المظلم. لذا، قد تستخدم بعض منظمات الأمن أو وكالات إنفاذ القانون أدوات فحص الويب المظلم للمساعدة في التحقيقات، باستخدامها للبحث في الويب المظلم عن إشارات إلى المخدرات غير المشروعة، أسلحة، ومنتجات مزيفة، على سبيل المثال.
 

كيف يعمل فحص الويب المظلم؟

بعبارات بسيطة، أدوات فحص الويب المظلم هي برامج تستخدم خوارزميات مصممة خصيصًا للبحث في الويب المظلم عن إشارات إلى بيانات شخصية للمستخدم. بشكل عام، لتشغيل الفحص، يجب على المستخدم أولاً إدخال تفاصيل شخصية محددة. ثم تقوم البرمجيات بمطابقة هذه التفاصيل ضد مجموعات البيانات - قوائم معروفة بالتفاصيل الشخصية المسروقة من خلال خروقات البيانات - المتاحة على الويب المظلم. يمكن لفحص الويب المظلم البحث عن جميع أنواع المعلومات الحساسة للمستخدم، بما في ذلك:

• الأسماء

• عناوين البريد الإلكتروني

• كلمات المرور

• نصوص المحادثات غير المشفرة

• عناوين IP

• معلومات بطاقة الائتمان أو الحساب البنكي

• حسابات وسائل التواصل الاجتماعي

• تفاصيل الهوية (مثل جوازات السفر، الأرقام الوطنية، أو بطاقات الهوية)

إذا اكتشف الفحص تفاصيل شخصية للمستخدم على الويب المظلم، فإنه ينبهه على الفور إلى ما تم العثور عليه وأين. بعد ذلك، يصبح من واجب المستخدم اتخاذ الخطوات المناسبة لحماية نفسه، كما تم توضيحه سابقًا.

ومع ذلك، يجب على المستخدمين أن يتذكروا أن فحص الويب المظلم الواحد عادةً ما يقتصر على الأسواق الشهيرة التي تحتوي على بروتوكولات خصوصية أقل ولا يمكنها البحث في الويب المظلم بأكمله. كما لا يمكنها أخذ أي خروقات تحدث مباشرة بعد الفحص في الاعتبار. لذا، يمكن للمستخدمين الذين يشعرون بالقلق البالغ بشأن خصوصيتهم اختيار إجراء فحوصات منتظمة للويب المظلم باستخدام أدوات مختلفة أو استخدام مراقبة الويب المظلم للبحث باستمرار في الويب المظلم عن معلوماتهم المسروقة.

لماذا يعتبر فحص الويب المظلم مهمًا؟

لا يتعامل المستخدم العادي للإنترنت مع الويب المظلم، لذا لماذا قد يكون لديه اهتمام بإجراء فحص للويب المظلم؟ الجواب بسيط: لحماية بياناته الشخصية ومحاولة منع المجرمين الإلكترونيين من استخدام هذه التفاصيل لارتكاب الجرائم. القضايا الواضحة قد تشمل اختراق البريد الإلكتروني وحسابات الوسائط الاجتماعية أو سرقة المال من الحسابات البنكية. ولكن هناك أنواعًا عديدة من الاحتيالات والسرقات الأكثر خطورة التي يمكن تنفيذها بالمعلومات الشخصية الصحيحة، مثل سرقة الهوية، احتيال بطاقات الائتمان، الاحتيال المالي، وعمليات الاحتيال عبر المكالمات الآلية.

مزايا فحص الويب المظلم

1. تحديد وتخفيف خروقات البيانات: الوظيفة الرئيسة لفحص الويب المظلم هي معرفة ما إذا كانت بيانات المستخدم الشخصية قد سُرقت وأصبحت متاحة للمجرمين الإلكترونيين. إذا كان الأمر كذلك، يمكن للمستخدم اتخاذ تدابير معينة لمحاولة حماية نفسه من المشاكل المستقبلية. على سبيل المثال، يمكنهم إيقاف بطاقات الائتمان، تنبيه البنوك، وتغيير كلمات المرور لتجنب الخسائر المالية وسرقة الهوية. ومع ذلك، هناك عدة أسباب أخرى تجعل بعض المستخدمين - أو حتى الشركات - يختارون تضمين أدوات فحص الويب المظلم ضمن فحوصاتهم الدورية عبر الإنترنت.

2. منع الخروقات المستقبلية: من خلال فحوصات الويب المظلم، يمكن للمستخدمين تحديد ما المعلومات التي سُرقت، وربما، كيف سُرقت. فهم كل هذا يمكن أن يكون مفيدًا لضمان عدم تكرار نفس الأخطاء وبالتالي، يساعد في حماية أنفسهم من التسريبات المستقبلية.

3. التعامل مع بيانات العملاء بشكل مسؤول: قد لا تعرف المنظمات دائمًا إذا تم اختراق أنظمتها، لذا فإن الفحص الدوري للويب المظلم هو وسيلة لضمان أنها تعالج بيانات العملاء بعناية. ستحدد هذه الفحوصات الخروقات في أسرع وقت ممكن بحيث يمكن اتخاذ خطوات التخفيف، وإبلاغ العملاء.

عيوب فحص الويب المظلم
على الرغم من أن فحوصات الويب المظلم مفيدة، فإن هناك بعض المشكلات التي لا بد من أخذها في الاعتبار عند التخطيط لاستخدام أدوات الفحص:

1. الفحوصات ليست مضمونة بنسبة 100%: على الرغم من مدى شمولية بعض أدوات فحص الويب المظلم، فإنها لا تستطيع مسح كل جزء من الويب المظلم أو ضمان العثور على معلوماتك وحمايتها دائمًا.

2. الفحوصات تلتقط لحظة زمنية معينة: كل فحص للويب المظلم يلتقط جزءًا محددًا من الويب المظلم في الوقت الذي يتم فيه إجراء الفحص ولا يمكنه أخذ أي خروقات قد تحدث فورًا بعد ذلك في الاعتبار. لذلك، يحصل المستخدمون على صورة لحظية للمعلومات المتاحة عبر الإنترنت في وقت الفحص.

3. التكاليف: بينما بعض أدوات الفحص مجانية، فإن العديد منها يتقاضى رسومًا مقابل خدماته. قد تصبح هذه التكاليف مرتفعة بالنسبة للأفراد أو الشركات الصغيرة التي ترغب في إجراء فحوصات منتظمة.

4. التوقيت: للأسف، بحلول الوقت الذي يكتشف فيه فحص الويب المظلم مشكلة، تكون بيانات المستخدم قد تعرضت بالفعل للاختراق. ولكن بمجرد معرفة تسرب بياناتهم، يمكنهم تغيير كلمات المرور أو تطبيق التدابير الأمنية الموصى بها للتخفيف من المخاطر ذات الصلة.

5. نقص القدرة على حل المشكلات: على الرغم من أن فحوصات الويب المظلم يمكن أن تحدد البيانات الشخصية المسروقة، فإنها لا تستطيع إزالتها. وبالتالي، يتعين على المستخدمين اتخاذ خطوات لمحاولة إزالة المعلومات من الويب المظلم وتطبيق تدابير التخفيف.

ماذا تفعل إذا اكتشف الفحص بياناتك الشخصية
يستخدم المهاجمون طرقًا متطورة بشكل متزايد للإيقاع بالمستخدمين على الإنترنت وجذبهم لمشاركة معلومات حساسة. ومن ثم، من الممكن تمامًا أن تنتهي كلمات المرور، معلومات بطاقات الائتمان، وبيانات أخرى على الويب المظلم. إذا اكتشف فحص الويب المظلم معلومات مسروقة، هنا بعض الإجراءات الفورية التي يجب اتخاذها لتقليل الأضرار:

1. تغيير كلمات المرور المسروقة

2. إلغاء بطاقات الائتمان

3. تنبيه البنوك

4. مراجعة الأذونات

5. تحديد مشاركة المعلومات

كيفية تجنب تسرب التفاصيل الشخصية

إذا كانت أفضل وسيلة للدفاع هي الهجوم الجيد، فإنه من المنطقي أن تجنب تسرب البيانات يتطلب الحفاظ على عادات وقائية أثناء استخدام الإنترنت. رغم وجود الثغرات دائمًا، فإن تنفيذ التدابير التالية أثناء التواجد على الإنترنت يمكن أن يساعد في منع ظهور بياناتك الشخصية في فحوصات الويب المظلم:

1. استخدام مدير كلمات المرور: استخدم مدير كلمات مرور لإنشاء كلمات مرور قوية يمكن تخزينها بأمان. تذكر أيضًا تغيير كلمات المرور بانتظام.

2. تفعيل المصادقة متعددة العوامل: قم بتفعيل المصادقة متعددة العوامل على جميع الحسابات والتطبيقات عبر الإنترنت حيثما أمكن.

3. تجنب استخدام شبكات Wi-Fi العامة أو المجانية: تجنب استخدام الشبكات العامة أو المجانية، التي غالبًا ما تكون غير آمنة.

4. الاشتراك في خدمة VPN قوية: اشترك في خدمة VPN قوية واستخدمها قدر الإمكان عند التواجد على الإنترنت، خاصة عند التعامل مع المعلومات الحساسة مثل الحسابات المصرفية وبطاقات الائتمان.

5. الانتباه للهجمات الاحتيالية: كن حذرًا من هجمات التصيد المحتملة، مثل الرسائل الإلكترونية المشبوهة والروابط الغريبة.

6. التحقق من عنوان الويب: تحقق دائمًا من عنوان الويب للتأكد من أن الموقع آمن ورسمي قبل تقديم أي معلومات.

7. استخدام برامج مكافحة الفيروسات: استخدم برامج مكافحة الفيروسات وقم بإجراء فحوصات دورية لاكتشاف البرمجيات الخبيثة وأي برامج ضارة أخرى.

أهمية فحص الويب المظلم

ببساطة، من خلال التفاعل مع العالم، يخاطر الجميع بتسرب معلوماتهم الشخصية وإمكانية ظهورها على الويب المظلم. حتى أولئك الذين لا يستخدمون الإنترنت بانتظام قد تتم سرقة تفاصيل بطاقاتهم الائتمانية، على سبيل المثال، إذا قاموا بإجراء عملية شراء في المتاجر وتم اختراق نظام نقاط البيع point-of-sale لاحقًا. لذا، يمكن أن تكون الفحوصات الدورية للويب المظلم مفيدة في حماية البيانات الشخصية وتجنب الوقوع ضحية للجرائم مثل سرقة الهوية والاحتيال المالي. على الرغم من أنها قد لا تكون خالية من العيوب تمامًا، فإن أدوات فحص الويب المظلم هي وسيلة للمستخدمين تمكنهم من أن يسبقوا المجرمين الإلكترونيين.

• إجراءات يجب العمل بها عند التعرض للابتزاز الإلكتروني