متابعة – المؤشر الاقتصادي
حلّل باحثو كاسبرسكي دورة حياة صفحات التصيّد واكتشفوا أن ثلث هذه الصفحات تختفي من الوجود في غضون يوم واحد من رصدها، ما يجعل الساعات الأولى من حياة صفحة التصيّد الأكثر خطورة على المستخدمين. وتحرص الجهات التخريبية في الساعات الأولى من رصد صفحات التصيّد، على نشر مجموعة كبيرة من روابط التصيّد المؤدية إليها قبل أن تكتشف محركات البحث الأمنية هذه الصفحات وتُدخِلها في قواعد البيانات الخاصة بالحلول الأمنية التي تتكفل بمنع المستخدمين من الوصول إليها.
وفي الدراسة التي أعدها باحثو كاسبرسكي، حلل الباحثون 5,307 صفحات تصيّد بين 19 يوليو و2 أغسطس الماضيين، فوجدوا أن جزءًا ملحوظًا منها قدره 1,784 صفحة قد توقف نشاطها تمامًا بعد اليوم الأول من رصدها، بل إن العديد من الصفحات اختفت من الوجود في الساعات الأولى التي تلت رصدها؛ ففي وقت مبكر يصل إلى 13 ساعة بعد رصد الصفحات التي خضعت للدراسة، أضحى ربعها خاملًا، في حين لم تدُم نصفها لأكثر من 94 ساعة.
تصنيف صفحات التصيّد بحسب عدد أيام نشاطها
ويعتمد عمر صفحة التصيّد على اللحظة التي يصبح وجودها فيها معروفًا لمسؤولي الموقع، الذين يسارعون إلى إزالتها. حتى وإن قامت الجهة التخريبية بتوظيف خادم خاص بها على اسم نطاق تملكه، وأصبح نشاطها محلّ شُبهة احتيالية، يستطيع مسجّلو اسم النطاق حرمان الجهة من حق استضافة أي محتوى أو بيانات عليه.
وتظهر الصفحة الجديدة في المزيد من قواعد بيانات مكافحة التصيّد بمرور كل ساعة من عمرها، ما يعني أن عددًا أقلّ من الضحايا المحتملين سيزورونها بمرور الوقت منذ أن تُرصد لأول مرة. ونظرًا لأن دورة حياة هذه الصفحات قصيرة جدًا، فإن الجهات التخريبية تحرص على توزيع الروابط المؤدية إلى هذه الصفحات بمجرد إنشائها، لضمان الوصول إلى أكبر عدد ممكن من الضحايا المحتملين والإيقاع بأكبر عدد منهم في الساعات الأولى، والصفحات ما زالت نشطة.
وكثيرًا ما يختار المهاجمون إنشاء صفحة جديدة بدلًا من تعديل صفحة قائمة، ونادرًا ما يُقدمون على تغيير الصفحة لتجنّب حظرها. فمثلًا، إذا استخدم المحتالون علامة تجارية ما طعمًا، فقد يغيرونها إلى علامة تجارية أخرى. ومع ذلك، تُحظر معظم الصفحات بمجرّد أن تقرر الجهات التخريبية تغيير شكل نشاط الصفحة. وثمّة طريقة أخرى يتبعها المحتالون تتمثل في إنشاء عناصر رمزية عشوائية تكون غير مرئية للمستخدم ولكنها قادرة على منع محركات مكافحة التصيّد من حظرها لمدة زمنية غير محددة. لكن محرّك مكافحة التصيّد من كاسبرسكي قادر على الكشف عن هذه الحيل بمهارة عالية.
وتحاكي الكثير من الصفحات التي عُدّل محتواها لتجنّب الحظر “توزيعات PUBG”، التي تُعتبر من أشهر الأحداث التي تقع في اللعبة. ويغيّر المهاجمون محتوى الصفحة بالتزامن مع حلول موسم جديد، مثلًا، أو وقوع حدث مؤقت في اللعبة، أو لجعل صفحة التصيّد تشبه الصفحة الأصلية قدر الإمكان.
تقديم اللاعب بياناته الشخصية في توزيعة PUBG مزيفة يسهّل وقوع حسابه في أيدي المحتالين
وقال إيغور بدنوف الباحث الأمني لدى كاسبرسكي، إن المنفعة التي تحققها مثل هذه الدراسات لا تقتصر على تحديث قواعد البيانات الأمنية، معتبرًا أن نتائج هذه الدراسات يمكنها تحسين الاستجابة للحوادث. وأكّد أهمية تمتّع الشركات بالقدرة على صدّ أي هجوم يُشنّ عبر بريد إلكتروني غير مرغوب فيه وباستخدام روابط تصيّد، وإيقافه في ساعاته الأولى التي وصفها بـ “أثمن وقت في نشاط المهاجمين”. ودعا الخبير الأمني المستخدمين الذين يصلهم رابط مشكوك فيه إلى التريّث لبضع ساعات، موضحًا أن هذه المدة “تزيد احتمال وضع الصفحة في قواعد البيانات التي تمكّن الحلول الأمنية من حظرها، كما يمكن لصفحة التصيّد نفسها أن توقف نشاطها”.
