في المرة القادمة التي يرن فيها هاتفك المحمول، وتظهر هوية المستخدم على أنه البنك، أو شركة الاتصالات أو قسم تكنولوجيا المعلومات بشركتك، لا تطمئن إليه، فربما لا يكون ذلك صحيحاً.
هذا لأن بعض الأنواع غير المعروفة من بطاقات SIM يمكن تشفيرها وتعديلها لإجراء اتصالات مخادعة تظهر من أرقام أخرى، وتسمح في بعض الحالات بتغيير صوت المستخدم. وهذه البطاقات يفضلها المجرمون، ويمكن أن تجعل هجمات الهندسة الاجتماعية أسهل بكثير، مثل التي ضربت تويتر، الشهر الماضي.
بطاقة SIM، أو بطاقة هوية المشترك، هي بطاقة تحتوي على معلوماتٍ عن مستخدم الهاتف، منها البلد ومزود الخدمة ورمز مميز يربطها بالمالك.
وفي حين أن تزييف الأرقام حيلة قديمة، تقدم هذه البطاقات وسيلة أسهل لفعل ذلك. فهي تركز على نطاق واسع من الثغرات التي تواجهها الشركات والأفراد، في محاولة حماية أنفسهم من هجمات الهندسة الاجتماعية.
وقد تعرض تويتر لهجوم تصيُّد إلكتروني موجَّه، يقوم فيه الشخص الذي يتظاهر بأنه من الشركة (وغالباً من قسم تكنولوجيا المعلومات) بموظف حقيقي ليستخرج منه المعلومات. هذا الهجوم، الذي أدى إلى السيطرة على 130 حساباً من بينها حسابات لشخصيات شهيرة مثل إيلون ماسك وكاني ويست، لكي يخدعوا متابعي هذه الحسابات ويحصلوا على 120 ألف دولار من البتكوين، أدى إلى اهتمام متزايد بهذه الممارسة. فالأدوات المماثلة لهذه البطاقات من الطرق التي يحاول بها المهاجمون أن يسبقوا الشركات بخطوة.
وبالطبع بعد اختراق تويتر، هناك زيادة مزعومة في عدد هجمات التصيد الإلكتروني الموجه على الشركات والأفراد ومنصات تداول العملات المشفرة.
تُعرف هذه البطاقات باسم بطاقات SIM البيضاء، بسبب لونها وغياب العلامة التجارية من عليها. ونظراً إلى النطاق الواسع من الخدمات التي تقدمها هذه البطاقات، فإنها تجعل هجمات الهندسة الاجتماعية أسهل قليلاً، ويمكن شراؤها من الإنترنت العميق أو المواقع المرتبطة به، باستعمال البتكوين.
تعتمد الهندسة الاجتماعية على خداع المهاجم لشخص ليعتقد أنه شخص آخر. ويمكن أن يبدو الهجوم مثل هجمات التصيد العادية، لكنه قد يتضمن وسائل أخرى معقدة مثل استبدال بطاقة SIM، وتغيير الصوت أو المحادثات الطويلة على الهاتف، وكلها بهدف الحصول على معلومات أو بيانات من الشخص المستهدف.
لأعوام تعرض مجتمع العملات المشفرة لهجمات استبدال بطاقات SIM، وهي من أنواع الهندسة الاجتماعية. في هذا الهجوم، يخدع المهاجم موظفاً بشركة الاتصالات ليقوم بتحويل رقم الضحية إلى جهاز المهاجم، ما يسمح للأخير بتجاوز طبقات حماية التحقق ثنائي العوامل، ليصل إلى حساب منصة تداول العملات المشفرة أو حساب شخصي على السوشيال ميديا.
وبما أن 99% من موظفي شركة الاتصالات يمكنهم الولوج إلى كل حسابات العملاء في الشركة، فإن هذا يعني أن المهاجمين عليهم اختراق حسابات موظف واحد فقط. لذا تمثل هذه البطاقات تحدياً كبيراً للأفراد والمؤسسات الساعين إلى حماية أنفسهم من الهندسة الاجتماعية، ومن بينهم البنوك والمؤسسات المالية الأخرى.
تجارة مثل أي تجارة
ينتقي المهاجمون بالهندسة الاجتماعية أهدافهم عبر حساب المال والوقت والجهد المطلوبين لخداعهم في مقابل المردود، وفقاً لبول وولش، المدير التنفيذي لشركة الأمن السيبراني MetaCert.
يقول وولش: “من الأسهل والأسرع أن تخترق معلومات شخص بالهندسة الاجتماعية بالمقارنة بمحاولة اختراق الحاسوب أو الشبكة نفسها. لذا فإن أي أدوات أو عمليات تسرّع هذه العملية جيدة لهم كما هو واضح”.
القدرة على محاكاة أرقام الهواتف الأخرى هي ما يجعل هذه البطاقات خطيرة. على سبيل المثال، يقوم المتصلون غالباً بتزييف الرقم الذي يتصلون به؛ ليجعلونه من المنطقة المحلية لمستقبِل المكالمة. لكن هذه البطاقات تسمح أيضاً للمهاجم، بتزييف رقم بعينه، ما يجعل رد الشخص على المكالمة أقرب إلى الحدوث.
والشخص الذي يمتلك بطاقة SIM قادرة على تزييف الأرقام يمكنه بسهولةٍ محاكاة رقم بنك أوف أمريكا الشهير على سبيل المثال، وفقاً لوولش، ما يجعل الناس على الأرجح يمنحونه معلومات شخصية حساسة. فإن اتصل بك شخص يظهر رقمه ببرامج تحديد هوية المتصل على أنه من بنك أوف أمريكا، فما السبب الذي يجعلك تظن غير ذلك؟
ويقول وولش أيضاً، إن هناك العديد من الأنظمة التي تتتبَّع بصورة آليةٍ الرقم الذي تتصل منه، وتستعمل هذه المعلومة في تحديد هويتك.
ويكمل وولش: “حين تتصل بالبنك وتوثق رقم الهاتف وربما تعطيهم معلومة ما عنك، يمكنك الولوج إلى كل أنواع المعلومات مثل رصيد الحساب البنكي وآخر معاملة. وهذه المعلومة وحدها قد تكون مفيدة في سياق الهندسة الاجتماعية، عن طريق أن تتصل بالبنك دون أي معلومات عن الهدف، وتحصل عليها كلها من البنك نفسه”.
تكنولوجيا التلاعب بالأصوات تنتشر
المقلق حقاً هو الطريقة التي يمكن بها استعمال هذه البطاقات غير القانونية مع تكنولوجيا أخرى، مثل التلاعب بالأصوات. فيمكن الآن استخدام تقنيات في إعادة تكوين صوت شخص من الملفات الموجودة على الإنترنت، ويمكن إعادة تكوين أصوات معظم الأشخاص من مقتطفات بسيطة لحديثهم من وسائل التواصل الاجتماعي أو غيرها.
وفي حين يعتقد أغلب الناس أنهم سيتمكنون من معرفة صوت الشخص بعد تعديله مقارنة بصوته الأصلي، يُشير بعض الخبراء إلى أن التكنولوجيا تحسنت لدرجة أنه صار بإمكانها إعادة تكوين اللهجة من صوت الشخص. ووجدت دراسةٌ أن عقولنا لا تُحسن تمييز الأصوات الزائفة من الحقيقية، حتى بعد أن نعرف أنها حقيقية.
وعكس بطاقات SIM البيضاء غير القانونية في كل بلاد العالم تقريباً، فإن البطاقات المشفرة مجهولة الهوية، التي تسمح بالتلاعب بالأصوات في الوقت الحقيقي يمكن شراؤها علناً. فشركة Securse Sims البريطانية على سبيل المثال، تعرض للبيع بطاقات تُعطل تتبُّع موقع وتشفر البيانات، إلى جانب مزايا أخرى، بأسعار تتراوح بين 600 وألف جنيه إسترليني.
- هذا الموضوع مترجم عن موقع CoinDesk.