يبدو أن حملة تصيُّد احتياليٍّ مُحكمةٍ -ظهرت مؤخراً- تستهدف مالكي أجهزة الهاتف المحمول من شركة آبل (Apple) بطريقةٍ جديدةٍ مثيرةٍ للقلق، وذلك من خلال استغلال ما قد يكون ثغرةً أمنيةً في الآلية المُتَّبعة من قِبَل الشركة في إعادة تعيين كلمات المرور.
ويتسبّب هجوم المصادقة متعدّدة العناصر (MFA) المتكرّر عادةً بإغراق أجهزة الآيفون (iPhone) وساعات آبل الذكية وأجهزة ماك (Mac) الخاصّة بالضحايا بوابلٍ من طلبات الموافقة على تغيير كلمة المرور الخاصة بهم، ما يجعل أجهزتهم غير قابلةٍ للاستخدام عملياً، وفي حال أعطى المستخدمون عن غير قصدٍ الموافقة على مطالباتٍ كهذه، سيتمكن المهاجمون من الاستيلاء على حسابات Apple الخاصّة بهم.
وهكذا نرى أن الجمع بين استغلال الثغرات التقنية والمناورات الاجتماعية في هذا المخطط الخبيث يُلقي الضوء على كيفية استغلال خاصيّةٍ يُفترض بها تعزيز الأمان -كميزة استعادة كلمة المرور- وقلبها لتصبح سلاحاً بيد المخترقين.
هجومٌ عنيفٌ من بوابة طلب إعادة تعيين كلمة المرور
ويبدأ هذا الهجوم بموجةٍ إشعاراتٍ قادمةٍ من نظام تشغيل جميع أجهزة شركة آبل التي يملكها الشخص المستهدف، حيث تطلب هذه الإشعارات منه الموافقة على إعادة تعيين كلمة مرور مُعرِّف آبل، وتستمرّ الإشعارات بالظهور وفق تتابع سريع قد يصل في بعض الحالات إلى أكثرَ من 100 إشعارٍ خلال دقائقٍ وفقاً للضحايا. ونظراً لأن الطلبات قادمةٌ من نظام التشغيل نفسه فإن رفضَها هو الطريقة الوحيدة لاستعادة إمكانية الوصول إلى الجهاز مؤقتاً.
وفي إحدى الحالات المماثلة، قام رجل الأعمال بارث باتيل (Parth Patel) بتوثيق تجربته الأخيرة التي تعرّض فيها لوابلٍ من “هجوم المطالبات” -كما يُسمّى في مجال الأمن- حيث تجمّدت لديه أجهزة آيفون وساعة آبل والكمبيوتر المحمول الخاص به إثرَ تعرّض هذه الأجهزة لسيلٍ لا ينقطع من طلبات إعادة تعيين كلمة المرور.
Last night, I was targeted for a sophisticated phishing attack on my Apple ID.
This was a high effort concentrated attempt at me.
Other founders are being targeted by the same group/attack, so I’m sharing what happened for visibility.
🧵 Here’s how it went down:
— Parth (@parth220_) March 23, 2024
وقال باتيل لموقع KrebsOnSecurity: “بدت جميع أجهزتي وكأنّها تتعرّض لسيلٍ من الانفجارات… وبدا الأمر وكأنه وابلٌ من إشعارات شركة آبل للموافقة [على إعادة تعيين كلمة المرور]، وكان عليَّ أن أكرّرَ الرفض على أكثر من 100 إشعار”.
ويبدو أن الهدف من هذا الوابل من المطالبات هو إحباط الضحايا ودفعهم ببساطةٍ للنقر على زرّ “السماح” في لحظةٍ معينةٍ، ما يمنح المهاجمين قدرة السيطرة على حساباتهم. ومع ذلك، فمهما حاولت الضحيّة رفض الطلبات، فإن سيل الهجوم لا يبدو أنه سيتوقف.
انتحال صفة الشركة المشغِّلة
بعد الصمود أمام هذا الطوفان من الإشعارات، يتلقى بعض الضحايا مكالماتٍ من أرقام تظهر على أنها تابعةٌ لخدمة دعم عملاء حقيقيةٍ من شركة Apple، حيث يدّعي المتصلون -ممّن ينتحلون صفة موظفي الشركة- أن حساب المستخدم قد تم اختراقه وأنهم يحتاجون إلى السماح “بالمصادقة” على إعادة تعيين كلمة المرور باستخدام رمزٍ (كود) لمرةٍ واحدة. وللعلم، لا ينبغي عليكم أبداً الوثوق بالمتصل بناءً على الرقم الذي يتصل منه فقط، حيث يسمح له “انتحاله” أن يخدعكم بسهولة.
وكانت حالةٌ من الارتياب قد سيطرت على باتيل عندما ظهرَ على هاتفه أحد أرقام خدمة الدعم لدى شركة آبل وهو 800-1، فقام باستجواب المتصل الذي كشفَ له -بشكلٍ مفاجئ- عن تفاصيلَ شخصيةٍ دقيقةٍ تم الحصول عليها من وسطاء جمع البيانات مثل PeopleDataLabs. وعندما زلّ لسان المندوب المزيّف بالإشارة إلى اسم غير صحيح، استنتج باتيل أنه إزاء محاولة تصيّد احتياليّ. وقال باتيل: “بعد سماع بعض أصوات الإدخال العنيف على لوحة المفاتيح من جانب المتصلّ، أعطاني كلَّ هذه المعلومات عنّي وهي دقيقةٌ تماماً”، باستثناء اسمه الحقيقيّ فقط.
والهدف من كلّ هذه المحاولة هو إقناع الضحية بالتصريح برمز إعادة تعيين كلمة المرور الذي أرسلته شركة آبل إليه في رسالةٍ مؤتمتة. وباستخدام هذا الرمز المختصر، يمكن للمهاجمين السيطرة الكاملة على حساب الضحية من أيّ مكان.
هل هو استغلالٌ لتصميم إعادة تعيين كلمة المرور؟
يعتقد الباحثون الأمنيون أن وابل إشعارات المطالبات يمكن أن يكون نتيجة استغلال ثغرةٍ في تصميم نظام تشغيل آبل؛ فعندما يطلب المستخدمون إعادة تعيين كلمة مرور الحساب على iforgot.apple.com، يطلب الموقع بريدهم الإلكتروني وإدخال رمز تحقّقٍ (CAPTCHA)، ثم يشارك آخر خانتين من رقم هاتف المستخدم، إلا أن إكمال الأرقام المتبقية وإرسَالها سيؤدي إلى إرسال إشعار عبر جميع الأجهزة المرتبطة بالحساب.
وعلى ما يبدو، فإن النظام يفتقر إلى إجراء حمايةٍ تمكّنه من منع الطلبات الخبيثة المتكرّرة الموجّهة للضحايا؛ فمن خلال استغلال خاصيّة إعادة تعيين كلمة المرور، يمكن للمجرمين -ببساطةٍ- السيطرة على حسابات المستخدمين دون الحاجة إلى إجراءات اختراقٍ معقّدة.
وكان الباحث كيشان باجاريا (Kishan Bagaria)، الذي اكتشف ثغرةً أمنيةً مماثلةً متعلقةً بشركة Apple (AAPL) قد صرّح في عام 2019 بقوله: “أعتقد أن هذا قد يكون خطأ تقنياً متعلقاً بشركة آبل ويجب الإبلاغ عنه”.
مع ذلك، فانتحال شخصية أحد ممثلي الشركة في المكالمة الهاتفية يُعدُّ تصعيداً مثيراً للقلق، فقد ينخدع الكثيرون ويُعطون المهاجمين معلوماتٍ شخصيةً دقيقةً وبياناتٍ تمكنهم من تنفيذ ممارسات الاحتيال؛ ووفقاً لتحذيرات شركة آبل نفسِها، فإنّها لن تقوم أبداً بإجراء هذه النوعية من المكالمات التي تطلب فيها كلمات المرور الخاصة بالمستخدمين أو أكواد الوصول إلى الحسابات دون سببٍ وجيه.
من هم المهاجمون؟
لم تتضح بعد هوية المجموعة التي تقف وراء موجة هجوم المصادقة متعدّدة العناصر (MFA) هذه، إلا أن هذا النهج المعقد متعدّد الجوانب يشير إلى أنهم مجرمون محترفون لديهم موارد وفيرةٌ، وليسوا محتالين فرديين من متحيّني الفرص.
يُذكر أن حصول المهاجمين على بياناتٍ شخصيةٍ من وسطاء البيانات يُمكّنهم من إعداد ملفاتٍ تفصيليةٍ للأشخاص المُستهدفين من أجل صياغة ذرائع مقنعةٍ، كما أن تكرار إرسال الإشعارات المزعجة والمنسّقة يكشف عن تمتعهم بمعارفَ تقنيةٍ تمكنهم من استغلال نقاط ضعف نظام التشغيل، كما تُعد محاولات الاحتيال الصوتية -المعروفة أيضاً باسم Vishing من خلال تزييف هوية المتصل ببراعةٍ- تقنيةً متقنةً في أوساط الاحتيال الإجراميّ.
ويتوقع بعض الضحايا رفيعي المستوى احتمالية ارتباط المهاجمين ببائعي بياناتٍ تحوم حولهم شبهاتٌ مثل PeopleDataLabs ممّن يسعون للحصول على كلمات مرور خاصةٍ بحساباتٍ معينةٍ لدعم ربحية نشاطهم، كما قد يكون دافعهم ببساطة هو الاحتيال الماليّ من خلال الاستيلاء على حساباتٍ تعود لبعض الأثرياء أو شركاتٍ من التي تعتمد على خدمات آبل بشكلٍ كبير.
يمكنكم أيضاً قراءة: دليلكم لاكتشاف محاولات التصيّد: كيف تعمل وعمّا تبحثون؟
وعلى الرغم من أن هوية المهاجمين الحقيقية تبقى مجهولةً، يشير مستوى تطوّرهم إلى أنّها ممارساتٌ إجراميةٌ تدعمها خبراتٌ تقنيةٌ وليست مجرّد احتيالٍ عابر.
6 خطوات لحماية أنفسكم
هاتف iPhone تظهر عليه صفحة إدخال كلمة المرور
يجب عليكم توخّي الحذر والبقاء متيقظين، خاصةً بالنظر إلى مدى تطوّر هذه الأنشطة الاحتيالية التي تستغلّ الثقة بكياناتٍ راسخةٍ كشركة آبل، ويُنصَح الخبراء باتباع التدابير الدفاعية التالية في حال تعرّضتم لمخططٍ احتياليّ كهذا أو آخرَ شبيهٍ به:
- لا تشاركوا كلمات المرور المرسلة لمرّة واحدة أو أكواد التحقق أبداً مع أيّ شخص عبر الهاتف، بغضّ النظر عن مدى قدرة المتصل على الإقناع، فقد أكدت شركة آبل بوضوح أنها لن تبادرَ بطلب ذلك أبداً من عملائها.
- إذا ظهر لكم إشعارٌ منبثقٌ من النظام لم تبدؤوه بأنفسكم يطالب بكلمة المرور، فلا تستجيبوا له ولا تنقروا زرّ “السماح”، حتى وإن تعرّضتم لسيلٍ من المحاولات المتكرّرة، وكل ما عليكم فعله هو رفض الإشعارات بصبر أو تجاهلها تماماً.
- فكّروا بتغيير رقم الهاتف المرتبط بحسابكم لدى آبل إلى خدمة إشعاراتِ جوجل الصوتية أو أيّ شريحةٍ هاتفيةٍ تعمل بتقنية VoIP (تقنية نقل الصوت عبر بروتوكول الإنترنت) لا يعلم عنها أحد، فقد يُعطل هذا الإجراء تسلسلَ عملية الهجوم التي تعتمد على أرقام هواتفَ تم التعرّف على هوية أصحابها.
- أنشِئوا أسماء مستعارةً مميزةً للبريد الإلكتروني من أجل الحسابات المختلفة على الإنترنت، ويمكنكم استخدام امتداداتٍ (مثل: [email protected])، ما يسمح لكم بتتبع الاسم المستعار الذي تم اختراقه إذا تعرّضتم لاستهدافٍ ما.
- استخدموا أداة موثوقة لإدارة كلمات المرور بهدف استخدام بيانات اعتماد قويةٍ ومميزة لكافة الحسابات، كما يتوجّب عليكم حماية بيانات اعتماد حساباتكم لدى آبل كما تفعلون مع بيانات الخدمات المصرفيّة على الإنترنت.
- قللوا من كشف بيانات هويتكم الشخصية بإلغاء الاشتراك في مواقع وسطاء البيانات التي تبيع بيانات مستخدميها؛ فكلما كانت البيانات المتاحة عنكم أقل، كلما ازدادت صعوبة تعرّضكم لاحتيالٍ يستخدم بياناتٍ مُقنعة.
استجابة آبل ضرورية
وفيما يُعتبر التيقظ الدائم عاملاً بالغ الأهمية، يقع العبء على شركة آبل لحلّ ما يبدو وكأنه ثغرةٌ أمنيةٌ أساسيةٌ في أنظمتها؛ فحتى تمكين حماية الحساب المتقدمة مثل مفتاح الاسترداد، لم تتمكن الشركة من إيقاف الإشعارات المزعجة التي تم الإبلاغ عنها في بعض الحالات.
يُذكر أن شركة آبل لم تستجب لطلبات KrebsOnSecurity للتعليق على الثغرة الأمنية المشتبه باستغلالها. ومع ذلك، فإن تحديد حدٍّ أقصى للمحاولات، أو طلب تحققٍ إضافيٍّ لطلبات إعادة ضبط كلمة المرور المتكرّرة، تبدو إجراءاتٍ وقائيةً يجدر بالشركة تنفيذها دون تأخير.
فمع زيادة تعرّض بيانات هويتنا الرقمية لأنظمةٍ مملوكةٍ من قِبَل عمالقة التكنولوجيا مثل حسابات آبل وجوجل وغيرها، لا يجب أبداً الاعتماد على إجراءات حمايتهم الأمنية فقط، إذ ينطوي أيّ تدخّلٍ خلال عملية المصادقة -كإعادة تعيين كلمات المرور- على مخاطرَ جمّةٍ تُمكن المهاجمين من التحكم الكامل في الحساب والاستيلاء عليه.
على أي حال، يشير هجوم استهداف خاصية المصادقة متعدّد العناصر إلى الحاجة لليقظة المستمرة والتدقيق في آليات منصة التشغيل الأساسية من قبل الشركات والأفراد. وبغير ذلك، فحتى الخصائص الأمنية لاستعادة الحسابات قد تكون مدخلاً يسمح للمهاجمين باستغلاله.