قراصنة الإنترنت يستخدمون «الكوكيز» والشهادات الأمنية لخداع المستخدمين ومواقع الإنترنت

تستمر جهود قراصنة الإنترنت بشكل كبير للوصول إلى بيانات المستخدمين بشتى الطرق، فما أن يجدوا ثغرة واحدة حتى تصبح جميع حسابات المستخدمين وبياناتهم تحت أيدي هؤلاء القراصنة، حيث بدأوا استخدام الشهادات الأمنية وملفات الارتباط "الكوكيز" لخداع المستخدمين وأجهزتهم والمواقع التي يرتادونها، وذلك عبر نشر البرمجيات الخبيثة التي تؤدي غرضهم.

ملفات الارتباط "الكوكيز"
اكتشف خبراء أمن المعلومات إصدارين جديدين معدلين لبرمجيات خبيثة تستهدف الأجهزة العاملة بنظام "أندرويد"، تعملان عند دمجهما على سرقة ملفات تعريف الارتباط التي جمعها متصفح الويب وتطبيق موقع التواصل الاجتماعي الشهير "فيسبوك"، قبل السماح للصوص الإنترنت بالسيطرة خفية على حساب الضحية من أجل تمكينهم من إرسال عديد من المحتوى بنية سيئة.
وتعد ملفات تعريف الارتباط قطعا صغيرة من البيانات التي تجمعها مواقع الويب لتتبع نشاط المستخدمين عبر الإنترنت في محاولة لإيجاد تجارب تتناسب واهتماماتهم. وفي الأغلب ينظر إلى ملفات تعريف الارتباط، المعروفة بالاسم "كوكيز" أو كعكات الويب، بوصفها مصدر إزعاج غير ضار، إلا أنها يمكن أن تشكل، إذا وقعت في الأيدي الخطأ، خطرا أمنيا على المستخدمين، ذلك لأنه عندما تقوم مواقع الويب بتخزين ملفات تعريف الارتباط هذه، فإنها تستخدم "معرف جلسة" فريدا بوسعه أن يحدد المستخدم في المستقبل دون الحاجة إلى كلمة مرور أو تسجيل دخول.
وبحسب "كاسبرسكي"، فإنه إذا امتلك مجرمو الإنترنت معرف مستخدم ما، يمكنهم خداع مواقع الويب والتحكم في حساب الضحية، وهذا بالضبط ما فعله لصوص ملفات تعريف الارتباط هؤلاء من خلال تطوير تروجانين بتشفير مشابه يتحكم فيهما خادم الأوامر والسيطرة نفسه.
ويمنح التروجان الأول حقوق الوصول إلى جذر النظام على جهاز الضحية، ما يسمح للصوص بنقل ملفات تعريف الارتباط الخاصة بـ"فيسبوك" إلى خوادمهم الخاصة، ومع ذلك، لا يكفي الحصول على المعرف وحده، في كثير من الأحيان، للتحكم في حساب آخر؛ إذ توجد في بعض مواقع الويب إجراءات أمنية تمنع محاولات تسجيل الدخول المريبة، كأن يحاول مستخدم نشط في شيكاغو تسجيل الدخول من بالي بعد بضع دقائق فقط.
في حين يعمل التروجان الثاني على تشغيل خادم بروكسي على جهاز الضحية لتجاوز الإجراءات الأمنية، واكتساب قدرة الوصول إليه دون إثارة الشكوك، ومن هناك، يمكن للمجرمين الظهور بمظهر المستخدم الضحية والتحكم في حسابه على الشبكة الاجتماعية لتوزيع محتوى غير مرغوب فيه.
ومع أن الهدف النهائي للصوص ملفات تعريف الارتباط ما زال غير معروف، يمكن لصفحة مكتشفة على خادم الأوامر والسيطرة أن تقدم تلميحا؛ فالصفحة تعلن خدمات لتوزيع الرسائل غير المرغوب فيها على الشبكات الاجتماعية وتطبيقات التراسل، ما يعني أن اللصوص قد يسعون للوصول إلى حساب ما لاتخاذه وسيلة لشن حملات تصيد ورسائل غير مرغوب فيها على نطاق واسع.
واكتشف قراصنة الإنترنت من خلال الجمع بين هجومين، طريقة للسيطرة على حسابات ضحاياهم دون إثارة الشكوك، مشيرا إلى استهدافهم حتى الآن نحو ألف فرد، والعدد يتزايد، ولا سيما وأنه من الصعب للغاية على مواقع الويب اكتشافه، وهو التهديد الذي يعد جديد نسبيا، ومع أن المستخدمين لا يولون ملفات تعريف الارتباط أي انتباه عند تصفح الإنترنت فإنها تظل وسيلة أخرى لمعالجة المعلومات الشخصية، وينبغي الانتباه عندما يتعلق الأمر بجمع البيانات عنا عبر الإنترنت.

الشهادات الأمنية
إلى جانب ملفات الارتباط، اكتشف الباحثون طريقة جديدة يستخدمها المخترقون لتوزيع البرمجيات الخبيثة، حيث يقومون بنشر برمجياتهم الخبيثة تحت ستار شهادات أمن مزيفة، وتظهر نافذة في الموقع المصاب بهذه البرمجية عندما يحاول المستخدمون الدخول إليه لتنبههم إلى أن شهادة أمن الموقع قديمة وأنه لا يمكن إكمال الاتصال والدخول إليه إلا بتنزيل شهادة جديدة وتثبيتها على حواسيبهم. لكن ما يجري تنزيله على الجهاز هو برمجية خبيثة على حاسوب الضحية.
وجرى حتى الآن تنزيل نوعين من التروجانات نتيجة لهذا الهجوم هما Mokes وBuerak، حيث يتيح الأول وصولا مستترا عبر منفذ خلفي لجهاز الضحية، بينما يعمل الثاني على تنزيل برمجية خبيثة إضافية على الجهاز المصاب.
وتعد المنافذ الخلفية نوعا شديد الخطورة من البرمجيات الخبيثة، نظرا لأن وظيفتها تمنح المهاجمين السيطرة على النظام المصاب لأغراض تخريبية، ولا سيما وأن المستخدم قد لا يشك في أن جهازه يخضع للاستغلال.
واستخدم مجرمو الإنترنت في الماضي تحديثات التطبيقات الرسمية وسيلة لنشر البرمجيات الخبيثة، لكن استخدام شهادات الأمن المزيفة يعد أمرا جديدا، ويزداد المستخدمون عرضة لهذا النوع من الهجوم لأنه يظهر على مواقع ويب رسمية، ربما زاروا بعضها، وتكمن الخطورة في أن العنوان المدرج في نافذة التنبيه المزيفة في الموقع، هو العنوان الأصلي لموقع الويب وهو ما يشعر المستخدم بالاطمئنان ويدفعه لتثبيت الشهادة الموصى بها حتى يتمكن من عرض المحتوى الذي يرغب فيه.
ولحماية المستخدمين لأنفسهم من قراصنة الإنترنت الذين يستخدمون هذه الأساليب الجديدة، عليهم التحقق مرتين من صياغة عنوان الويب وإملاء اسم الموقع، ومحاولة إدخال عنوان الموقع يدويا في حال راودهم الشك، إضافة إلى حظر الوصول إلى ملفات تعريف الارتباط التابعة لجهة خارجية على متصفح الويب في الهاتف والسماح فقط بحفظ البيانات إلى حين الخروج من المتصفح، والحرص على مسح ملفات تعريف الارتباط دوريا.