العدد الأسبوعي رقم 174 - الجمعة 8 نوفمبر 2024
كيف تتجنب تطبيقات الهاتف المحمول الضارة؟
|
|
|
صباح الخير قراءنا الكرام،
مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.
يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.
|
|
أهم الأخبار
-
أوقفت Cisco بوابة DevHub بعد نشر أحد القراصنة بيانات مسروقة.
-
أكثر من 200 تطبيق ضار على متجر Google Play تم تنزيلها ملايين المرات.
-
صفحات Google Meet مزيفة تقدم برمجيات لسرقة المعلومات في حملة ClickFix الجارية.
-
محتالون يستخدمون الذكاء الاصطناعي، ويستهدفون حسابات Gmail، ويدّعون أن لديهم شهادة وفاتك.
مخاطر وثغرات
-
أعلنت CISA أن ثغرة حرجة تنفذ تعليمات برمجية عن بُعد "RCE" في Fortinet يتم استغلالها في الهجمات.
-
أصدرت VMware تحديثًا لخادم vCenter لإصلاح ثغرة حرجة تنفذ تعليمات برمجية عن بُعد RCE.
-
كشفت Microsoft عن ثغرة أمنية في نظام macOS تسمح بالوصول غير المصرح به للبيانات.
-
أصدرت Mozilla إصلاحًا لثغرة جديدة في متصفح Firefox والتي كانت تُستغل بنشاط في الهجمات.
مؤشرات وإحصائيات:
-
معدل هجمات برامج الفدية - Sophos
معلومة أمنية
-
كيف تتجنب تطبيقات الهاتف المحمول الضارة؟
شاهد:
-
كيف يتم اصطيادك عبر الهندسة الاجتماعية؟
|
|
مقتطفات لأهم الأحداث الخاصة بأمن المعلومات محليًا وعالميًا
|
|
|
أوقفت Cisco بوابة DevHub بعد نشر أحد القراصنة بيانات مسروقة
18 أكتوبر 2024
أكدت شركة Cisco أنها أوقفت بوابة DevHub العامة لمطوري البرمجيات بها، بعد أن قام أحد المهاجمين بتسريب بيانات "غير عامة"، لكنها لا تزال تؤكد أنه لا يوجد دليل على تعرض أنظمتها للاختراق.
وجاء في بيان محدث من الشركة: "لقد حددنا أن البيانات المعنية موجودة في بيئة DevHub مكشوفة للجمهور - وهي مركز موارد Cisco الذي يمكننا من دعم مجتمعنا من خلال توفير كود البرمجيات، والبرامج النصية، وما إلى ذلك، للعملاء لاستخدامها حسب الحاجة". وأضاف البيان: "في هذه المرحلة من تحقيقنا، حددنا أن عددًا قليلًا من الملفات التي لم يكن مصرحًا بها للتنزيل العام قد تم نشرها".
ذكرت شركة Cisco أنه لا توجد مؤشرات على أن المعلومات الشخصية أو البيانات المالية قد سُرقت، لكنها تواصل التحقيق في البيانات التي قد تكون تم الوصول إليها.
وجاء هذا البيان بعد أن ادعى أحد المهاجمين المعروفين باسم IntelBroker أنه قد قام باختراق شركة Cisco وحاول بيع البيانات وكود المصدر المسروق من الشركة. حيث زعم أنه حصل على الوصول إلى بيئة مطور تابعة لجهة خارجية للشركة من خلال رمز Application Programming Interface "API" مكشوف.
وخلال تحقيق الشركة، لم تعترف الشركة بحدوث حادث أمني؛ مما أدى إلى مشاركة لقطات شاشة لإثبات أن المتسلل كان لديه حق الوصول إلى بيئة مطور Cisco.
بيانات Cisco للبيع على منتدى القرصنة
هذه اللقطات والشهادات التي تمت مشاركتها أظهرت أن المهاجم كان لديه وصول إلى معظم، وإن لم يكن جميع البيانات المخزنة على هذه البوابة. وقد شملت هذه البيانات كود المصدر، وملفات التكوين التي تحتوي على بيانات اعتماد قاعدة البيانات، والمستندات الفنية، وملفات SQL.
لا يزال غير واضح ما بيانات العملاء المخزنة على هذه الخوادم.
كما زعم أنه احتفظ بالوصول حتى اليوم، عندما قامت Cisco بحظر جميع الوصول إلى البوابة وبيئة المطور المعرّضة للخطر. ذكر المهاجم أيضًا أنه فقد الوصول إلى خادم Maven وDocker المرتبط ببوابة DevHub، لكنه لم يقدم أي دليل على هذا الوصول.
بينما تواصل Cisco التأكيد على عدم اختراق أي أنظمة، وتشير جميع الأدلة التي رأيناها إلى أنه تم اختراق تطوير تابع لجهة خارجية، مما سمح للمهاجم بسرقة البيانات.
|
|
أكثر من 200 تطبيق ضار على متجر Google Play تم تنزيلها ملايين المرات
15 أكتوبر 2024
وزع المتجر الرسمي لنظام Android، أكثر من 200 تطبيق ضار على مدار عام، حيث بلغ عدد التنزيلات التراكمية ما يقرب من ثمانية ملايين عملية تنزيل.
تم جمع هذه البيانات بين يونيو 2023 وأبريل 2024 من قبل باحثي الذكاء الاصطناعي في Zscaler، الذين حددوا وحللوا عائلات البرمجيات الخبيثة على كل من متجر Google Play ومنصات التوزيع الأخرى.
تتضمن التهديدات الأكثر شيوعًا التي اكتشفها الباحثون في متجر التطبيقات الرسمي لنظام Android ما يلي:
-
Joker (38.2%): برنامج سرقة المعلومات وبرامج التجسس على الرسائل النصية الذي يشترك ضحاياه في الخدمات المدفوعة.
-
Adware (35.9%): تطبيقات تستهلك عرض النطاق الترددي للإنترنت والبطارية لتحميل إعلانات مزعجة على الواجهة أو إعلانات غير مرئية في الخلفية، مما يولد ظهور إعلانات احتيالية.
-
Facestealer (14.7%): برامج سرقة بيانات اعتماد حساب فيسبوك التي تضع نماذج تصيد فوق تطبيقات الوسائط الاجتماعية الشرعية.
-
Coper (3.7%): برنامج سرقة المعلومات، ويستولي على الرسائل النصية SMS والذي يمكنه أيضًا تنفيذ تسجيل الضغطات على لوحة المفاتيح وعرض صفحات التصيد الاحتيالي.
-
Loanly Installer (2.3%)
-
Harly (1.4%): تطبيقات حصان طروادة تُشرك الضحايا في خدمات مدفوعة.
-
Anatsa :(0.9%) Anatsa أو Teabot هو حصان طروادة مصرفي يستهدف أكثر من 650 تطبيقًا مصرفيًا حول العالم.
في وقت سابق من هذا العام في شهر مايو، نبه نفس الباحثين من وجود أكثر من 90 تطبيقًا ضارًا على متجر Google Play، مع عدد تنزيلات بلغ 5.5 ملايين.
على الرغم من أن Google لديها آليات أمان لاكتشاف التطبيقات الضارة، لا يزال لدى المهاجمين بعض الحيل لتجاوز عملية التحقق. في تقرير العام الماضي، وصف فريق أمان Google Cloud "الإصدارات"، وهي طريقة لتقديم البرمجيات الخبيثة من خلال تحديثات التطبيقات أو بتحميلها من خوادم يسيطر عليها المهاجم.
بغض النظر عن الطريقة المستخدمة لتوزيع البرمجيات الخبيثة من خلال Google Play، فإن بعض الحملات أكثر نجاحًا من غيرها. بينما ركز تقرير Zscaler على البرمجيات الخبيثة الأكثر شيوعًا على نظام Android، اكتشف باحثون آخرون حملات استخدمت أيضًا Google Play لتوزيع البرمجيات الخبيثة على الملايين.
في إحدى الحالات، تم تنزيل محمل البرمجيات الخبيثة Necro لنظام Android 11 مليون مرة من خلال تطبيقين فقط تم نشرهما على المتجر الرسمي.
وفي حالة أخرى، تم اكتشاف البرمجيات الخبيثة Goldoson لنظام Android في 60 تطبيقًا شرعيًا بلغ عدد تنزيلاتها التراكمية 100 مليون عملية تنزيل.
في العام الماضي، وُجد SpyLoan في تطبيقات على Google Play التي تم تنزيلها أكثر من 12 مليون مرة.
كان ما يقرب من نصف التطبيقات الضارة التي اكتشفها Zscaler ThreatLabz منشورة على Google Play تحت فئات الأدوات، والتخصيص، والتصوير الفوتوغرافي، والإنتاجية، ونمط الحياة.
أنواع التطبيقات الضارة على Google Play
فيما يتعلق بمحاولات حظر البرمجيات الخبيثة هذا العام، تشير تقارير Zscaler إلى أن الاتجاه يظهر انخفاضًا عامًا، كما تم قياسه من خلال المعاملات المحظورة.
سجل ThreatLabz في المتوسط 1.7مليون حظر شهريًّا، مع تسجيل 20 مليون حظر على مدار فترة التحليل، وكانت التهديدات الأكثر شيوعًا هي Vultur، Hydra، Ermac، Anatsa، Coper، وNexus.
يظهر تقرير تهديدات الهواتف المحمولة من Zscaler أيضًا زيادة كبيرة في إصابات البرمجيات التجسسية، مدفوعة بشكل أساسي بعائلات SpyLoan وSpinOK وSpyNote. في العام الماضي سجلت الشركة 232,000 حظر لنشاط البرمجيات التجسسية.
كانت الدول الأكثر استهدافًا من قبل البرمجيات الضارة على الهواتف المحمولة في العام الماضي هي الهند والولايات المتحدة، تلتها كندا وجنوب إفريقيا وهولندا.
وفقًا للتقرير، استهدفت البرمجيات الضارة على الهواتف المحمولة بشكل رئيس قطاع التعليم، حيث زادت كمية المعاملات المحظورة بنسبة 136.8%. وسجل قطاع الخدمات زيادة بنسبة 40.9%، بينما شهدت القطاعات الكيميائية والتعدين زيادة بنسبة 24%. أما بقية القطاعات، فقد أظهرت انخفاضًا عامًا.
للتقليل من فرص الإصابة بالبرمجيات الضارة من متجر Google Play، يُنصح المستخدمون بقراءة تعليقات الآخرين لمعرفة المشكلات التي تم الإبلاغ عنها والتحقق من ناشر التطبيق.
كما ينبغي على المستخدمين التحقق من الأذونات المطلوبة في وقت التثبيت ووقف العملية إذا كان التطبيق يتطلب أذونات لا تتناسب مع نشاطه.
أرسلت جوجل التعليق التالي إلى Zscaler بشأن النتائج:
"الإصدارات الضارة من هذه التطبيقات التي تم تحديدها لم تعد موجودة على متجر Play. تتم حماية مستخدمي Android تلقائيًا من الإصدارات المعروفة من البرمجيات الضارة المذكورة في هذا التقرير بواسطة Google Play Protect، الذي يتم تفعيله بشكل افتراضي على أجهزة Android التي تحتوي على خدمات Google Play.
يمكن أن يقوم Google Play Protect بتحذير المستخدمين أو حظر التطبيقات المعروفة التي تُظهر سلوكًا ضارًا، حتى عندما تأتي تلك التطبيقات من مصادر خارج متجر Play."
|
|
صفحات Google Meet مزيفة تقدم برمجيات لسرقة المعلومات في حملة ClickFix الجارية
18 أكتوبر 2024
يستغل المهاجمون صفحات ويب مزيفة لـ Google Meet كجزء من حملة مستمرة للبرمجيات الضارة تُعرف باسم ClickFix لتوزيع برمجيات سرقة المعلومات التي تستهدف أنظمة Windows وmacOS.
أفادت شركة Sekoia الفرنسية للأمن السيبراني في تقرير شاركته مع The Hacker News: "تشمل هذه التكتيكات عرض رسائل خطأ مزيفة في متصفحات الويب لخداع المستخدمين لجعلهم ينسخون وينفذون كود PowerShell ضارًا؛ مما يؤدي في النهاية إلى إصابة أنظمتهم".
تم الإبلاغ على نطاق واسع عن أشكال مختلفة من حملة ClickFix (المعروفة أيضًا باسم ClearFake وOneDrive Pastejacking) في الأشهر الأخيرة، حيث استخدم المهاجمون وسائل جذب مختلفة لإعادة توجيه المستخدمين إلى صفحات مزيفة تهدف إلى نشر البرمجيات الضارة من خلال حث زوار الموقع على تشغيل كود PowerShell مشفر لمعالجة مشكلة مزعومة في عرض المحتوى في متصفح الويب.
تُعرف هذه الصفحات بأنها تتنكر كخدمات شائعة عبر الإنترنت، بما في ذلك Facebook، وGoogle Chrome، وPDFSimpli، وreCAPTCHA، والآن Google Meet بالإضافة إلى إمكانية استهداف Zoom أيضًا.
عناوين الصفحات المزيفة تشمل:
-
meet.google.us-join[.]com
-
meet.googie.com-join[.]us
-
meet.google.com-join[.]us
-
meet.google.web-join[.]com
-
meet.google.webjoining[.]com
-
meet.google.cdm-join[.]us
-
meet.google.us07host[.]com
-
googiedrivers[.]com
-
us01web-zoom[.]us
-
us002webzoom[.]us
-
web05-zoom[.]us
-
webroom-zoom[.]us
على نظام التشغيل Windows، تنتهي سلسلة الهجمات بنشر برمجيات سرقة المعلومات StealC وRhadamanthys، بينما يتم تقديم مستخدمي نظام macOS من Apple بملف صورة قرص مفخخ ("Launcher_v1.94.dmg") يقوم بتوزيع برمجية سرقة أخرى تُعرف باسم Atomic.
تُعتبر هذه التكتيكات الناشئة في الهندسة الاجتماعية ملحوظة؛ لأنها تتجنب اكتشاف أدوات الأمان بشكل ذكي، حيث تتطلب من المستخدمين تشغيل أمر PowerShell الضار يدويًا مباشرة على الجهاز، بدلاً من أن يتم استدعاؤه تلقائيًا بواسطة حمولة تم تنزيلها وتشغيلها من قِبلهم.
نسبت شركة Sekoia التجمع الذي يتنكر كتطبيق Google Meet إلى مجموعتين من المهاجمين، وهما Slavic Nation Empire (المعروفة أيضًا باسم Slavice Nation Land) وScamquerteo، واللتان تُعتبران مجموعات فرعية ضمن Markopolo وCryptoLove على التوالي.
وأعلنت Sekoia: "تستخدم كلتا المجموعتين [...] نفس نموذج ClickFix الذي يتنكر كتطبيق Google Meet." تشير هذه الاكتشافات إلى أن هذه الفرق تتشارك في المواد، المعروفة أيضًا باسم "مشروع الهبوط"، بالإضافة إلى البنية التحتية.
هذا، بدوره، يثير احتمال أن مجموعتي التهديد تستفيدان من خدمة جريمة إلكترونية غير معروفة حتى الآن، مع احتمال وجود طرف ثالث يدير بنيتها التحتية.
يأتي هذا التطور في ظل ظهور حملات برمجيات ضارة تقوم بتوزيع برنامج ThunderKitty لسرقة المعلومات المفتوحة المصدر، والذي يتداخل مع كل من Skuld وKematian Stealer، بالإضافة إلى عائلات جديدة من البرمجيات الضارة تُعرف باسم Divulge وDedSec (المعروفة أيضًا باسم Doenerium) وDuck وVilsa وYunit.
أشارت شركة الأمن السيبراني Hudson Rock في يوليو 2024 إلى أن "ارتفاع أدوات سرقة المعلومات مفتوحة المصدر يمثل تحولًا كبيرًا في عالم التهديدات السيبرانية."
وأضافت: "من خلال خفض حاجز الدخول وتعزيز الابتكار السريع، يمكن أن تُغذي هذه الأدوات موجة جديدة من الإصابات بالبرامج الضارة، مما يشكل تحديات لمتخصصي الأمن السيبراني، ويزيد من المخاطر العامة على الشركات والأفراد."
شرحت شركة الأمن السيبراني Qualys تفاصيل حملة ClickFix جديدة تستغل وسائل جذب التحقق من CAPTCHA على مواقع وهمية لخداع المستخدمين لنسخ وتنفيذ نص PowerShell script مشفر باستخدام Base64 باستخدام "Run" في Windows.
تم تكوين نص PowerShell لاسترجاع حمولة عن بُعد، والتي بدورها تنفذ نص PowerShell آخر لتنزيل وتشغيل Lumma Stealer باستخدام تقنية تعرف باسم "تجويف العملية" (process hollowing) لتفادي الكشف.
أفاد الباحث في Qualys Vishwajeet Kumar: "تُظهر التحقيقات في Lumma Stealer مشهد تهديد متطور يتميز بقدرة البرمجيات الضارة على التكيف وتفادي الكشف. إنها تستخدم مجموعة متنوعة من التكتيكات، من الاستفادة من البرمجيات المشروعة إلى استخدام طرق تسليم خداعية، مما يجعلها تحديًا مستمرًا لفرق الأمان."
كما حذرت GoDaddy وشركتها الفرعية Sucuri من أن هذه الحملات ClickFix تستهدف مواقع WordPress باستخدام مكونات إضافية ضارة (مثل Advanced User Manager وQuick Cache Cleaner وuniversal-popup-plugin-v133) لتقديم رسائل منبثقة مزيفة لإصلاح المتصفح.
أفادت الباحثة الأمنية Puja Srivastava: "إن الرسالة المنبثقة تأمر المستخدم بتثبيت root certificate من خلال النقر على زر مزيف يحمل عنوان 'كيفية الإصلاح'. "عند النقر على هذا الزر، تظهر نافذة منبثقة جديدة تحتوي على تعليمات تفصيلية لتشغيل أوامر ضارة على PowerShell."
"المستخدمون الذين يقومون بتشغيل هذا PowerShell دون علم ينتهون بتنزيل وتشغيل حصان طروادة، مما قد يؤدي إلى عواقب وخيمة، مثل سرقة البيانات أو السيطرة عن بُعد على الجهاز، و/أو مزيد من الاستغلال."
يُقدر أن أكثر من 6,000 موقع WordPress قد أصيبت بهذه الطريقة حتى الآن، مع استغلال المهاجمين بيانات اعتماد المسؤول المسروقة لتثبيت المكونات الإضافية الخبيثة. هناك دلائل تشير إلى وجود مستوى من الأتمتة المعنية لإنشاء هذه المكونات؛ بسبب اتساق التسميات والبيانات الوصفية.
أعلن Denis Sinegubko: "بمجرد التثبيت، تقوم المكونات الإضافية بحقن JavaScript ضار يحتوي على نسخة معروفة من برامج التحديث المزيفة للمتصفح التي تستخدم تقنية blockchain والعقود الذكية للحصول على حمولة ضارة." "عند تنفيذها في المتصفح، تقدم JavaScript للمستخدمين إشعارات مزيفة لتحديث المتصفح توجههم لتثبيت البرمجيات الضارة على جهازهم."
|
|
محتالون يستخدمون الذكاء الاصطناعي ويستهدفون حسابات Gmail، ويدّعون أن لديهم شهادة وفاتك
15 أكتوبر 2024
تحذر عدة مصادر موثوقة من نوع متطور جدًا من الاحتيال مدعوم بالذكاء الاصطناعي، والذي قد ينجح في خداع العديد من الأشخاص للتخلي عن حسابات Gmail الخاصة بهم.
وجاء أحدث تحذير من الرئيس التنفيذي Garry Tan لشركة Y Combinator، الذي نشر على منصة X، حيث أشار إلى أن المحتالين يستخدمون أصواتًا مدعومة بالذكاء الاصطناعي ليخبروا الضحايا أن شخصًا ما قد أصدر شهادة وفاة لهم، ويحاول استرداد حساباتهم.
يدعي المحتالون أنهم يتأكدون مما إذا كنت على قيد الحياة، وما إذا كان يجب عليهم تجاهل شهادة الوفاة المقدمة. إذا قمت بالنقر على "نعم، إنه أنا" في شاشة استعادة الحساب المزيفة، فمن المحتمل أن تفقد الوصول إلى حساب Google الخاص بك.
في مثال حديث آخر، استُهدف خبير Windows الذي يدعى Sam Mitrovic بنوع مشابه جدًا من عمليات الاحتيال باستخدام الذكاء الاصطناعي لاستعادة الحساب. حيث أوضح Sam كيف يحدث الاحتيال: يبدأ الأمر عندما يتلقى إشعارًا بمحاولة استعادة حساب Gmail المزعومة، ويتبعه بعد 40 دقيقة مكالمة هاتفية. في المرة الأولى، فاتته المكالمة، ولكن عندما حاول المحتالون الشيء نفسه بعد أسبوع، أجاب عن المكالمة.
في كلتا الحالتين، تأتي الإشعارات من الولايات المتحدة، ولكن المكالمات تظهر تحت اسم "Google Sydney" كالمتصل. يزعم الصوت الأمريكي المهذب أن هناك نشاطًا مشبوهًا على حساب Sam في Gmail ويسأله ما إذا كان يسافر.
يدعي المتصل أن هناك محاولة تسجيل دخول من ألمانيا، مما يثير الشكوك نظرًا لأن Sam في المنزل في الولايات المتحدة. ويضيف المتصل أن عملية تسجيل الدخول كانت ناجحة، وأن المهاجم قد تمكن من الوصول إلى حساب Sam لمدة أسبوع، وقام بتنزيل بيانات الحساب.
يتذكر Sam البريد الإلكتروني والمكالمة الفائتة من الأسبوع الماضي، ويدرك الموقف بما يكفي ليتحقق سريعًا من هوية المتصل. ويبدو أن الرقم هو رقم مساعد Google الشرعي.
ولكن، بمعرفة سهولة تزوير الأرقام الهاتفية والادعاء بالاتصال من رقم معين، طلب Sam إرسال بريد إلكتروني لتأكيد أن المتصل يعمل بالفعل لدى Google. بعد سماع أصوات الطباعة النموذجية في خلفية مركز الاتصال، وسرعان ما يصل البريد الإلكتروني.
يبدو البريد الإلكتروني مقنعًا للغاية، حيث إنه يأتي من نطاق Google، ويتضمن رقم حالة، ويدعي أنه من فريق أمان حسابات Google، ويؤكد الرقم الهاتفي واسم المتصل.
بينما كان Sam يراجع البريد الإلكتروني، كان المتصل يكرر "مرحبًا". من النطق والمسافات بين الكلمات، أدرك Sam أنه صوت اصطناعي مدعوم بالذكاء الاصطناعي، وقرر إنهاء المكالمة.
عند فحص البريد الإلكتروني، اكتشف Sam أن المحتالين يستخدمون أداة Salesforce CRM الشرعية (أداة إدارة علاقات العملاء)، المشروعة التي تتيح لك تعيين المُرسل لأي اسم تريده وإرسال الرسائل عبر خوادم Gmail/Google.
من الأهداف الأخرى التي استمرت في التعامل مع هذا الاحتيال، تم طلب التحقق من المصادقة الثنائية Two-factor authentication (2FA)، ما يشير إلى أن المحتالين يهدفون في النهاية إلى السيطرة على حساب Google، ولكن هذه المرة بشكل فعلي.
تُعد الحاجة إلى تأكيد استعادة الحساب أو إعادة تعيين كلمة المرور واحدة من الأساليب الشائعة في هجمات التصيد الاحتيالي. في العادة، يحاول المحتالون خداع الضحية لفتح بوابة تسجيل دخول مزيفة، حيث يتعين عليهم إدخال بيانات اعتمادهم للإبلاغ بأن الطلب لم يُبادر به من قبلهم.
كيفية البقاء آمنًا
هناك بعض العلامات التي يمكنك استخدامها للتعرف على هذا النوع من الاحتيالات.
-
التحقق من حقل "إلى" في البريد الإلكتروني: يستخدم المحتالون غالبًا عناوين بريد إلكتروني مضللة. على سبيل المثال، تلقى "Sam" رسالة تأكيد من عنوان بريد إلكتروني يسمى "GoogleMail[@]InternalCaseTracking[.]com"، وهو ليس نطاقًا شرعيًا من Google.
-
التعرف على الاتصالات الشرعية من Google: المكالمات التي يجريها Google Assistant تكون عادةً مؤتمتة، وفي بعض الحالات فقط تتم من خلال مشغل يدوي. أما دعم Google فلن يتصل بك دون طلب منك.
-
التحقق من تنبيهات الأمان: للتحقق مما إذا كانت تنبيهات الأمان صادرة عن Google، يمكنك التحقق من نشاطك الأمني الأخير باتباع الخطوات التالية:
-
اضغط على صورة ملفك الشخصي في Gmail في الزاوية العلوية اليمنى.
-
اضغط على إدارة حسابك على Google.
-
اختر علامة تبويب "الأمان".
-
يمكنك العثور على زر "مراجعة نشاط الأمان"
أي رسائل تدعي أنها تنبيهات أمان من Google ولا تظهر في هذه القائمة، فهي ليست من Google.
لا تستمر بالتحدث مع هؤلاء المحتالين أكثر من اللازم، حيث إنهم لا يحتاجون إلى وقت طويل لتسجيل بصمتك الصوتية. هذا يسمح لذكائهم الاصطناعي بانتحال شخصيتك باستخدام صوتك.
|
|
مخاطر وثغرات أمنية تخص البرمجيات الأكثر استخدامًا وشيوعًا
|
|
|
أعلنت CISA أن ثغرة حرجة تنفذ تعليمات برمجية عن بُعد "RCE" في Fortinet يتم استغلالها في الهجمات
9 أكتوبر 2024
كشفت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) أن المهاجمين يستغلون بنشاط ثغرة تنفيذ التعليمات البرمجية عن بُعد (Remote Code Execution "RCE") الحرجة في FortiOS.
تسبب هذه الثغرة (CVE-2024-23113) في عدم قدرة خدمة برنامج fgfmd على التحكم في سلسلة التنسيق الخارجية كوسيط، مما يسمح للمهاجمين غير المصرح لهم بتنفيذ أوامر أو تعليمات برمجية عشوائية على الأجهزة غير المحدثة في هجمات منخفضة التعقيد لا تتطلب تفاعل المستخدم.
كما توضح Fortinet، يعمل برنامج fgfmd المعرض للخطر على FortiGate وFortiManager، حيث يتعامل مع جميع طلبات المصادقة، ويدير رسائل الإبقاء على الاتصال فيما بينها (بالإضافة إلى جميع الإجراءات الناتجة مثل توجيه العمليات الأخرى لتحديث الملفات أو قواعد البيانات).
تؤثر الثغرة (CVE-2024-23113) على FortiOS 7.0 وما بعده، وFortiPAM 1.0 وما فوق، وFortiProxy 7.0 وما فوق، وFortiWeb 7.4.
كشفت الشركة عن هذه الثغرة الأمنية، وقامت بإصلاحها في فبراير 2024، عندما نصحت المسؤولين بإزالة الوصول إلى damon fgfmd لجميع الواجهات كإجراء تخفيف مصمم لمنع الهجمات المحتملة.
وأعلنت Fortinet: "يرجى ملاحظة أن هذا سيمنع اكتشاف FortiGate من FortiManager. وستظل الاتصالات ممكنة من FortiGate". كما أضافت"يرجى أيضًا ملاحظة أن سياسة الإدخال المحلية التي تسمح فقط باتصالات FGFM من عنوان IP محدد ستقلل من مستوى الهجوم، لكنها لن تمنع استغلال الثغرة من هذا العنوان. وبالتالي، ينبغي استخدام هذا كإجراء تخفيف، وليس كحل كامل."
طلبت الوكالات الفيدرالية إصلاح الثغرات خلال ثلاثة أسابيع، بينما لم تقم Fortinet بعد بتحديث تنبيهها في فبراير لتأكيد استغلالCVE-2024-23113، حيث أضافت CISA الثغرة إلى قائمة الثغرات المعروفة المستغلة.
الآن، يُطلب من الوكالات الفيدرالية الأمريكية أيضًا تأمين أجهزة FortiOS على شبكاتها ضد هذه الهجمات المستمرة خلال ثلاثة أسابيع، بحلول 30 أكتوبر 2024، كما هو مطلوب بموجب التوجيه التشغيلي الملزم (BOD 22-01) الصادر في نوفمبر 2021.
حذرت وكالة الأمن السيبراني من أن "هذه الأنواع من الثغرات هي نقاط هجوم شائعة للمهاجمين الخبيثين، وتشكل مخاطر كبيرة على المؤسسة الفيدرالية".
كما حذرت هيئة المخابرات والأمن العسكري الهولندية (MIVD) في يونيو 2024 من أن القراصنة الصينيين استغلوا ثغرة RCE حرجة أخرى في FortiOS (CVE-2022-42475) بين عامي 2022 و2023 لاختراق وإصابة ما لا يقل عن 20,000 جهاز أمان شبكي من Fortigate ببرمجيات خبيثة.
|
|
أصدرت VMware تحديثًا لخادم vCenter لإصلاح ثغرة حرجة تنفذ تعليمات برمجية عن بُعد RCE
22 أكتوبر 2024
أصدرت شركة VMware تحديثات برمجية لمعالجة ثغرة أمنية تم إصلاحها سابقًا في خادم vCenter، والتي يمكن أن تفتح الطريق لتنفيذ التعليمات البرمجية عن بُعد.
الثغرة، التي تم تتبعها باسم CVE-2024-38812 (درجة خطورة CVSS: 9.8)، تتعلق بحالة من حالات تجاوز سعة الذاكرة التراكمية في تنفيذ بروتوكول DCE/RPC.
وفقًا لشركة Broadcom، وهي مزود خدمات التجزئة، فإنه "يمكن لمهاجم خبيث لديه وصول إلى شبكة خادم vCenter استغلال هذه الثغرة عن طريق إرسال حزمة شبكة مصممة خصيصًا؛ مما قد يؤدي إلى تنفيذ كود عن بُعد".
تم الإبلاغ عن هذه الثغرة في الأصل من قبل zbl و srs من فريق TZL في مسابقة Matrix Cup للأمن السيبراني التي أُقيمت في الصين في وقت سابق من هذا العام.
"قررت VMware التابعة لشركة Broadcom أن التصحيحات الخاصة بـ vCenter التي صدرت في 17 سبتمبر 2024 لم تعالج بالكامل CVE-2024-38812"، كما ذكرت الشركة.
تتوافر تصحيحات الخلل في إصدارات خادم vCenter التالية:
كما يتوافر التحديث كتصحيح غير متزامن لإصدارات VMware Cloud Foundation 5.x و5.1.x و4.x. لا توجد تدابير تخفيف معروفة.
على الرغم من عدم وجود أدلة على استغلال الثغرة في العالم الحقيقي، يُنصح المستخدمون بالتحديث إلى أحدث الإصدارات لحماية أنفسهم من التهديدات المحتملة.
في يوليو 2021، أصدرت الصين قانونًا يلزم الباحثين في البلاد بالإفصاح عن الثغرات المكتشفة على الفور إلى الحكومة وشركة المنتج، مما أثار مخاوف من أنه قد يساعد الخصوم الدوليين في تخزين الثغرات غير المكتشفة وتحويلها إلى أسلحة لصالحهم.
|
|
كشفت Microsoft عن ثغرة أمنية في نظام macOS تسمح بالوصول غير المصرح به للبيانات
18 أكتوبر 2024
كشف فريق استخبارات التهديدات في Microsoft عن تفاصيل حول ثغرة أمنية في نظام التشغيل macOS، أطلق عليها اسم "HM Surf"، والتي قد تسمح للمهاجم بالوصول إلى بيانات المستخدم في متصفح Safari. تشمل البيانات التي يمكن للمهاجم الوصول إليها دون موافقة المستخدمين، بما في ذلك الصفحات التي تم تصفحها، بالإضافة إلى كاميرا الجهاز والميكروفون والموقع.
تم إصلاح الثغرة الأمنية، التي تم تتبعها باسم CVE-2024-44133، في تحديث 16 سبتمبر 2024 لنظام Mac Studio (2022 والإصدارات الأحدث)، وiMac (2019 والإصدارات الأحدث)، وMac Pro (2019 والإصدارات الأحدث)، وMac Min (2018 والإصدارات الأحدث)، وMacBook Air (2020 والإصدارات الأحدث)، وMacBook Pro (2018 والإصدارات الأحدث)، وiMac Pro (2017 والإصدارات الأحدث).
من المهم ملاحظة أن هذه الثغرة الأمنية لن تؤثر إلا على الأجهزة التي تديرها إدارة الأجهزة المحمولة (Mobile Device Management "MDM"). تخضع الأجهزة التي تديرها إدارة الأجهزة المحمولة عادةً لسياسات إدارة وأمان مركزية يحددها قسم تكنولوجيا المعلومات في المؤسسة.
أطلقت Microsoft على الثغرة اسم "HM Surf". من خلال استغلال هذه الثغرة الأمنية، يمكن للمهاجم تجاوز تقنية الشفافية والموافقة والتحكم (Transparency, Consent, and Control "TCC") في نظام تشغيل macOS والحصول على وصول غير مصرح به إلى بيانات المستخدم المحمية.
قد يلاحظ المستخدمون تقنية الشفافية والموافقة والتحكم في متصفح Safari أثناء العمل عندما يتصفحون موقع ويب يتطلب الوصول إلى الكاميرا أو الميكروفون. قد يرون مطالبة مثل هذه:
ما اكتشفته Microsoft هو أن متصفح Safari يحتفظ بسياسة TCC الخاصة به، والتي يتم تخزينها في العديد من الملفات المحلية.
في هذه المرحلة، أدركت Microsoft أنه من الممكن تعديل هذه الملفات الحساسة من خلال تبديل دليل المستخدم الرئيس للأمام وللخلف. تتم حماية الدليل الرئيس بواسطة TCC، ولكن من خلال تغيير الدليل الرئيس، ثم تعديل الملف، ثم جعله الدليل الرئيس مرة أخرى، سيستخدم Safari الملفات المعدلة.
تعمل الثغرة فقط على Safari؛ لأن المتصفحات الخارجية مثل Google Chrome وMozilla Firefox أو Microsoft Edge لا تمتلك نفس الامتيازات الخاصة بتطبيقات Apple. لذلك، لا يمكن لتلك التطبيقات تجاوز فحوصات TCC في macOS.
وأشارت Microsoft إلى أنها لاحظت نشاطًا مشبوهًا مرتبطًا ببرامج Adload الضارة التي قد تستغل هذه الثغرة. لكنها لم تستطع التأكد تمامًا مما إذا كانت نفس الثغرة تم استغلالها.
"نظرًا لأننا لم نتمكن من مراقبة الخطوات المتخذة التي أدت إلى النشاط، لا يمكننا تحديد ما إذا كانت حملة Adload تستغل ثغرة HM surf نفسها. إن استخدام المهاجمين لطريقة مماثلة لنشر تهديد شائع يزيد من أهمية وجود حماية ضد الهجمات التي تستخدم هذه التقنية."
نشجع مستخدمي macOS على تطبيق هذه التحديثات الأمنية في أسرع وقت ممكن إذا لم يكونوا قد فعلوا ذلك بالفعل.
|
|
أصدرت Mozilla إصلاحًا لثغرة جديدة في متصفح Firefox والتي كانت تُستغل بنشاط في الهجمات
9 أكتوبر 2024
أصدرت Mozilla تحديث أمان طارئ لمتصفح Firefox لمعالجة ثغرة حرجة من نوع استخدام الذاكرة بعد تحريرها (use-after-free) والتي يتم استغلالها حاليًا في الهجمات.
تُتبع الثغرة تحت الرقم CVE-2024-9680، وقد اكتشفها الباحث Damien Schaeffer في شركة ESET. وتحدث هذه الثغرة في خطوط زمنية للرسوم المتحركة (Animation timelines).
تحدث هذه النوعية من الثغرات عندما يستمر البرنامج في استخدام ذاكرة تم تحريرها، مما يسمح للمهاجمين بإضافة بيانات ضارة خاصة بهم إلى منطقة الذاكرة لتنفيذ التعليمات البرمجية.
تُعتبر خطوط الزمن الرسومية (Animation timelines)، جزءًا من واجهة برمجة تطبيقات الرسوم المتحركة على الويب (Web Animations API) في Firefox، آلية تتحكم في الرسوم المتحركة وتزامنها على صفحات الويب.
"تمكن المهاجم من تحقيق تنفيذ التعليمات البرمجية في عملية المحتوى من خلال استغلال ثغرة استخدام الذاكرة بعد تحريرها في خطوط الزمن الرسومية Animation timelines"
تؤثر هذه الثغرة على أحدث إصدار من Firefox (الإصدار القياسي) وإصدارات الدعم الموسع (ESR).
تم توفير الإصلاحات في الإصدارات التالية، والتي يُنصح المستخدمون بالترقية إليها على الفور:
-
Firefox 131.0.2
-
Firefox ESR 115.16.1
-
Firefox ESR 128.3.1
نظرًا لحالة الاستغلال النشطة لـ CVE-2024-9680 وغياب أي معلومات حول كيفية استهداف الأشخاص، فإن الترقية إلى أحدث الإصدارات أمر ضروري.
للترقية إلى الإصدار الأحدث، افتح Firefox وانتقل إلى الإعدادات -> المساعدة -> حول Firefox، وسيبدأ التحديث تلقائيًا. سيتطلب الأمر إعادة تشغيل البرنامج لتطبيق التغييرات.
طوال عام 2024 حتى الآن، كان على Mozilla إصلاح ثغرات صفرية في Firefox مرة واحدة فقط.
في 22 مارس، أصدرت الشركة تحديثات أمنية لمعالجة CVE-2024-29943 وCVE-2024-29944، وهما مشكلتان تمثلان خطورة حرجة، وتم اكتشافهما وعرضهما من قبل Manfred Paul خلال مسابقة القرصنة Pwn2Own Vancouver 2024.
|
|
معدل هجمات برامج الفدية - Sophos
-
تعد هذه الدراسة من Sophos لتجارب المؤسسات حول العالم مع برامج الفدية، حيث تستكشف الرحلة الكاملة للضحايا بدءًا من شدة الهجمات وتأثيرها المالي وكيفية تطور تأثير برامج الفدية خلال السنوات الخمس الماضية.
-
تعرض الدراسة السنوية البيانات الخاصة بكل عام من خلال الهجمات التي تمت بالعام السابق له، أي أن عام 2024 يتضمن الهجمات الخاصة بعام 2023.
-
يستند التقرير إلى نتائج مسح مستقل وغير متحيز أجرته Sophos واشتمل على 5000 من قادة تقنية المعلومات والأمن السيبراني في 14 دولة من الأمريكتين، وأوروبا، ومنطقة آسيا والمحيط الهادئ. ويمثل جميع المشاركين مؤسسات يتراوح عدد موظفيها بين 100 و5000 موظف.
-
كما أُجري الاستطلاع من قِبَل شركة أبحاث متخصصة "Vanson Bourne" في الفترة بين يناير وفبراير 2024، وطُلب من المشاركين الاستجابة بناءً على تجاربهم خلال العام السابق. وفي قطاع التعليم، تم تقسيم المشاركين إلى تعليم أدنى (يلبي احتياجات الطلاب حتى سن 18 عامًا) وتعليم أعلى (للطلاب فوق سن 18 عامًا).
-
أوضح التقرير أن 59% من المؤسسات تعرضت لهجمات برامج الفدية العام الماضي، وهو انخفاض طفيف، ولكنه مرحب به مقارنة بنسبة 66% التي تم تسجيلها في العامين السابقين. على الرغم من أن أي انخفاض يعد أمرًا مشجعًا، فإن حقيقة تعرض أكثر من نصف المؤسسات لهجوم تشير إلى أن الوقت ليس مناسبًا لتخفيف الاحتياطات.
-
كما تناول التقرير هجمات برامج الفدية حسب الإيرادات خلال عامي 2023 و2024.
نسبة المنظمات التي تعرضت لهجمات الفدية خلال عامي 2023 و2024
حيث عرض أن جميع قطاعات الإيرادات سجلت انخفاضًا في معدل هجمات برامج.
الفدية خلال العام الماضي (على الرغم من أن الشركات التي تتراوح إيراداتها بين 500 مليون و1 مليار دولار شهدت انخفاضًا أقل من نقطة مئوية واحدة). يميل احتمال التعرض لهجمات برامج الفدية إلى الزيادة مع الإيرادات، حيث أفادت المؤسسات التي تزيد إيراداتها عن 5 مليارات دولار بأعلى معدل هجوم (67%). ومع ذلك، لا تزال المؤسسات الأصغر (بإيرادات أقل من 10 ملايين دولار) مستهدفة بشكل منتظم، حيث تعرضت نسبة 47% منها لهجمات برامج الفدية خلال العام الماضي. وعلى الرغم من أن العديد من هجمات برامج الفدية تنفذ من قبل عصابات متمرسة وممولة جيدًا، فإن استخدام برامج فدية بدائية ورخيصة من قبل جهات تهديد أقل مهارة يشهد تزايدًا.
|
|
معلومات للتوعية بأمن المعلومات
|
|
|
كيف تتجنب تطبيقات الهاتف المحمول الضارة؟
التطبيق الغامض: قصة تحذيرية قصيرة
في يوم أحد هادئ، صادفت سارة إعلانًا أثناء تصفحها وسائل التواصل الاجتماعي عن تطبيق جديد لتعديل الصور، اسمه "PiksPerfect". انجذبت لمزايا التطبيق الرائعة، فسارعت إلى تحميله دون تردد. في البداية، عمل التطبيق بشكل رائع، لكن سرعان ما أصبح هاتفها بطيئًا، وبدأت الإعلانات العشوائية تظهر. وبعد بضعة أيام، تلقت سارة مكالمة من بنكها حول معاملات مريبة بلغت آلاف الدولارات من حسابها. وفي حالة من الذعر، تحققّت من تطبيق البنك الخاص بها، ووجدت مدخراتها شبه مفقودة. كانت سارة مرتبكة وغاضبة بعد إبلاغها عن عملية الاحتيال وتجميد حسابها.
اكتشف صديقها المتمرس بالأمور التقنية: كان التطبيق مزيفًا، يسرق معلوماتها الشخصية، بما في ذلك تفاصيل حسابها المصرفي. استغرقت عملية استرداد الأموال شهورًا، لكن سارة أصبحت أكثر حذرًا، وتعلمت إجراء بحث عن التطبيقات قبل تثبيتها. الآن هي تشارك قصتها مع الآخرين لتحذيرهم، مدركة أن لحظة من الإهمال يمكن أن تؤدي إلى عواقب بعيدة المدى.
كيف أستطيع معرفة ما إذا كانت التطبيقات آمنة؟
تعتبر تطبيقات الجوال مفيدة وعملية، حيث تمكننا من القيام بكل شيء تقريبًا في حياتنا بضغطة زر. ومع ذلك، يستغل مجرمو الإنترنت هذا الأمر من خلال إنشاء تطبيقات موبايل مزيفة أو خبيثة. إذا قمت بتحميل أحد هذه التطبيقات، يمكن أن تتولى السيطرة على هاتفك، وتراقب كل ما تفعله. المفتاح لحماية نفسك هو التأكد من أن التطبيقات المحمولة التي تقوم بتثبيتها على أجهزتك شرعية وآمنة.
أولاً وقبل كل شيء، قم بتحميل التطبيقات الجوال فقط من المتاجر الرسمية، حيث تتم مراجعة التطبيقات من قبل البائعين، مثل متجر تطبيقات آبل Apple App Store أو متجر جوجل بلاي Google Play Store حيث يترك المستخدمون آراء تقييمية عن هذه التطبيقات. مما يساعد هذا في تقليل خطر تحميل تطبيق جوال مزيف أو خطر.
غالبًا لا يمكن الوثوق بالمتاجر التابعة لجهات خارجية، وقد تكون مُدارة من قبل مجرمي الإنترنت. لكن حتى عند استخدام متجر تطبيقات موثوق، يجب أن تكون حذرًا. إليك بعض الخطوات الإضافية التي يمكنك اتخاذها لضمان تحميل تطبيقات جوال شرعية وآمنة.
-
تحقق من اسم الجهة الصانعة للتطبيق: عند البحث عن تطبيق جوال محدد تم تطويره بواسطة شركة معينة، تأكد من أن التطبيق الذي تقوم بتحميله مصنوع من قبل تلك الشركة. خدعة شائعة للمحتالين هي إنشاء تطبيقات موبايل تبدو مشابهة جدًا لتطبيقات معروفة. تحقق من اسم الجهة المطورة - هل هي نفس الشركة أو مطور معروف، أم أن التطبيق تم تطويره من قبل شخص لم تسمع به من قبل؟ خيار آخر هو زيارة الموقع الرسمي للتطبيق أو المطور للعثور على روابط مباشرة للتطبيق في متجر التطبيقات. هذا يضمن أنك تقوم بتحميل التطبيق الرسمي.
-
اقرأ الآراء التقييمية ومعرفة التصنيف: انظر إلى الآراء التقييمية والتصنيفات التي تركها المستخدمون. سيكون للتطبيق الشرعي عدد كبير من المراجعات الإيجابية وتقييمات عالية. كن حذرًا من التطبيقات التي تحتوي على عدد قليل من الآراء التقييمية، أو العديد من الآراء التقييمية السلبية، أو المراجعات الإيجابية بشكل مفرط والتي تبدو مصطنعة.
-
تحقق من عدد مرات التنزيل: عادةً ما تحتوي التطبيقات الشرعية على عدد كبير من التنزيلات. يمكن أن يكون التطبيق الذي يحتوي على عدد قليل من التنزيلات علامة تحذير.
-
تحقق من أذونات الاستخدام: راجع الأذونات التي يطلبها التطبيق قبل تحميله. ستطلب التطبيقات الشرعية فقط الأذونات اللازمة لوظائفها. كن حذرًا من التطبيقات التي تطلب أذونات مفرطة أو غير ذات صلة. على سبيل المثال، هل يحتاج التطبيق حقًا إلى الوصول إلى جهات اتصالك أو معرفة موقعك دائمًا؟
-
تحقق من التحديثات المنتظمة: يتم تحديث التطبيقات الشرعية بانتظام لإصلاح الأخطاء وتحسين الأداء. تحقق من تاريخ تحديث التطبيق للتأكد من أنه يتلقى تحديثات مستمرة.
-
كن حذرًا مع التطبيقات الجديدة: يجب التعامل مع التطبيقات الجديدة التي لا تحتوي على مراجعات أو تقييمات بحذر. إذا كان التطبيق شرعيًا، فمن المحتمل أن يحصل على مراجعات وتقييمات إيجابية مع مرور الوقت.
بمجرد تحميلك لتطبيق موبايل، لا تنسى تفعيل ميزة التحديث التلقائي؛ لأنه يتم العثور على أخطاء جديدة وثغرات أمنية باستمرار في أكواد ورموز تطبيقات الجوال. من خلال التأكد دائمًا من أنك تستخدم أحدث إصدار من تطبيقات الجوال الخاصة بك، يمكنك التأكد من أن هذه الثغرات تم إصلاحها، وأن لديك أحدث ميزات الأمان. أيضًا، إذا لم تعد تستخدم تطبيق الجوال، احذفه من هاتفك.
|
|
فيديوهات للتوعية بأمن المعلومات
|
|
|
-
كيف يتم اصطيادك عبر الهندسة الاجتماعية؟
|
|
|
|
|
