استعرضت اليوم شركة F5، وعلى لسان محمد أبو خاطر، نائب الرئيس الإقليمي في الشرق الأوسط وإفريقيا لدى الشركة، أبرز الخطوات التي يمكن اتباعها لتجنب الهجمات الرامية إلى سرقة بيانات الاعتماد.
ولجني الأرباح، يحتاج مجرمو الإنترنت إلى ابتكار أنظمة تدرّ عليهم مالًا أكثر ما ينفقون على تنفيذ الهجمات. وثمّة عاملان رئيسان يؤثران في هذه المعادلة، الأول هو تكلفة العمليات والثاني هو التغيّر في مشهد الأمن الرقمي. لكن في ظلّ الانخفاض السريع في التكاليف، يمكن للمجرمين إنفاق بضع مئات من الدولارات لشن هجمات تمكّنهم من سرقة ملايين الدولارات.
ونتيجة لذلك، بوسعنا أن نرى انتشارًا متزايدًا في هجمات "سرقة بيانات الاعتماد" Credential Stuffing، التي تُعدّ إحدى سبل الاحتيال الرقمي الهادف سرقة الحسابات. وفي الواقع، أظهرت أبحاث حديثة أجرتها "إف 5 لابز" F5 Labs و"شيب سكيوريتي" Shape Security، أن حوادث سرقة بيانات الاعتماد تضاعفت تقريبًا بين العامين 2016 و2020.
وتقدّر في "شيب سكيوريتي" تكلفة محاولة الاستيلاء على 100,000 حساب بحوالي 200 دولار، وهي تكلفة تشمل البرمجيات الضرورية للعمل والبروكسيات الشبكية وبيانات الاعتماد المسروقة. وتتراوح معدلات النجاح عادة بين 0.2 و2 بالمئة، لتُباع بعدها الحسابات المسروقة في المنتديات والأسواق مقابل سعر يتراوح بين دولارين و150 دولارًا للحساب الواحد، أي ما يعادل عائدًا يتراوح بين 100 و150,000 بالمئة، وربما أكثر! هذا يضيف عائدًا ماليًا يتراوح بين 200 دولار و300,000 دولار.
رفع التكلفة على المحتالين يعيق عملهم
لمواجهة هذا التهديد، يتعيّن على المؤسسات تحسين دفاعاتها إلى الحدّ الذي يجعل تغلب المحتالين عليها مكلفًا جدًا. بمعنى آخر، ينبغي لك أن تحرص على إحباط خصمك باستمرار وإجباره على الذهاب إلى مكان آخر، ولفعل هذا الأمر بالطريقة الصحيحة، تحتاج إلى معرفة مقدار التكلفة الفعلية التي تلزم المجرمين لمهاجمة حضورك الرقمي على الويب والأجهزة المحمولة. فإذا ما حُزت هذه المعرفة، يحين الوقت للشروع في تنفيذ خطة حماية مُحكمة من ثلاث خطوات.
الخطوة الأولى: معالجة الثغرات ونقاط الضعف من خلال إجراء تدقيق لمدى انكشاف الشبكة للمخاطر وإزالة كل ما يمكن أن يُغري المحتالين بمهاجمتك؛ فالمغريات تقلّل العقبات التي يجب على المهاجمين التغلب عليها. فعليك، مثلًا، تحليل صفحات المصادقة على الدخول إلى تطبيقات الويب والتأكد من أنك لا تقدّم ملاحظات غير ضرورية قد تكون مفيدة للمحتالين. وتُعدّ صفحات إعادة تعيين كلمة المرور مثالًا شائعًا هنا؛ فعبارة من قبيل "نعتذر، هذا الحساب غير موجود، يرجى المحاولة مرة أخرى" تشكّل مساعدة قيّمة للمحتالين، إذ تخبرهم بالحسابات الصالحة وغير الصالحة على موقعك، وبالتالي تساعدهم في تحسين الدقة والكفاءة لأية هجمات لاحقة تستهدف بيانات الاعتماد. وهنا قد تكون أفضل رسالة توضيحية "لقد تلقينا طلب إعادة تعيين كلمة المرور. إذا كان هذا الحساب فعالًا، فسيتم إرسال بريد إلكتروني لإعادة تعيين كلمة المرور".
الخطوة الثانية: تتمثل في إجراء اختبار لاختراق تطبيقات الويب والتطبيقات المحمولة الخاصة بمؤسستك، لمعرفة مدى صعوبة (أو سهولة) اختراقها. ويجب أن تسترشد هذه العملية بالأدلة، لا بالشعور الغريزي، ما سيساعدك في إنشاء صندوق أدوات للدفاع يصدّ المحاولات المحتملة للتغلّب على إجراءات الأمن التي تتبعها في مؤسستك.
الخطوة الثالثة: تكمن في تذكر أن الأمور لا تبقى ثابتة، فالأدوات التخريبية المتاحة للمجرمين تتحسن باستمرار، لذا فإن أهمية هذه الخطوة تتمثل في كونها تحديثًا لعناصر التحكّم في الأمن وترقيتها بانتظام لمواكبة مشهد المخاطر دائم التغير والتطور. هذا الأمر يمكن أن يشمل محللي الأمن (الداخليين أو المتعاقدين) الذين يظلون متأهبين للبقاء على اتصال بأحدث نواقل الهجوم والأدوات التخريبية التي تجري مناقشتها على منتديات الاحتيال والجريمة في الويب المظلمة. وقد يكون تخصيص مكافآت للعثور على الثغرات أحد الحلول الفعالة في تحديد الثغرات في أدوات التحكم، أو طرقًا جديدة للتحايل على الضوابط الحالية قبل أن يتمكن المحتالون من العثور عليها وإساءة استخدامها.
وقال محمد أبو خاطر نائب الرئيس الإقليمي في الشرق الأوسط وإفريقيا لدى F5: "لا بدّ من التأكيد بأن هجمات "سرقة بيانات الاعتماد" رخيصة وسهلة التنفيذ، ما يجعلها معقولة ومجدية من الناحية الاقتصادية للمحتالين الذين يجنون الملايين كل عام من الجريمة الرقمية، لذلك يجب توخّ الحذر، وعدم المساهمة في تيسير الأمر عليهم".
