إن حالة التصيد الاحتيالي أو "الخداع" التي تحدث مع تويتر هي مجرد قمة جبل الجليد. بدلاً من التعمق في الموقف بنفسي - بما في ذلك مناقشة OAuth - قمت بتسليم الأمر إلى أحد أصدقائي الأكثر ذكاءً تقنيًا.
إن حالة التصيد الاحتيالي أو "الخداع" التي تحدث مع تويتر هي مجرد قمة جبل الجليد. بدلاً من التعمق في الموقف بنفسي - بما في ذلك مناقشة OAuth - قمت بتسليم الأمر إلى أحد أصدقائي الأكثر ذكاءً تقنيًا. ديمون كورتيسي هو مستشار أمني قام أيضًا بتأليف العديد من أدوات تويتر، بما في ذلك الأدوات الشائعة تويتستاتس و دي إم واكر. اقرأ أدناه للتعرف على وجهة نظره الجيدة حول تطور التصيد الاحتيالي والتحديات الأمنية التي يواجهها تويتر.
افتتاحية الضيف بقلم ديمون كورتيسي
ما هو ليس جديدًا أيضًا هو التقدم الذي سيستغرقه هذا. لقد شهدنا مرارًا وتكرارًا هذا الاتجاه يتكرر في جوانب مختلفة من الإنترنت.
سنبدأ بالمثال البسيط: البريد الإلكتروني كانت محاولات التصيد عبر البريد الإلكتروني في الأصل واضحة جدًا وكانت بها أدلة متكررة تشير إلى افتقار واضح للشرعية - أخطاء إملائية، وجمل غير مكتملة، وعدم الترابط، وما إلى ذلك. سريعًا إلى اليوم، أتلقى رسائل بريد إلكتروني عبارة عن نسخ طبق الأصل من رسائل البريد الإلكتروني التسويقية المشروعة المرسلة من قبل البنوك والوكالات الأخرى. ال فقط تتمثل الاختلافات في أن الرابط الموجود خلف النص يشير إلى عنوان URL مختلف، وأن البريد الإلكتروني نشأ من مصدر غير مملوك للشركة المزعومة. لقد رأيت ذلك كثيرًا وكان علي أن أفكر مرتين قبل أن أدرك أنه ليس لدي حساب في تلك المؤسسة. تستهدف غالبية رسائل البريد الإلكتروني هذه تحقيق مكاسب مالية من خلال الحصول على بيانات الاعتماد المصرفية أو معلومات التعريف الشخصية.
الآن دعونا نلقي نظرة على الشبكات الاجتماعية. مع ظهور هذا العدد الكبير والمتنوع من السكان على شبكة الإنترنت، ارتفعت شبكات التواصل الاجتماعي بشكل هائل في السنوات القليلة الماضية. الفيسبوك، على سبيل المثال، انتهى 140 مليون مستخدم نشط. لا ينشر موقع MySpace إحصائياته، ولكن وفقًا لـ تنافس.كوم، وكان كلا الموقعين تقريبا 50 مليون زائر فريد في نوفمبر 2008. ومع وجود العديد من المستخدمين في مكان واحد، فهو هدف غني بالتصيد الاحتيالي.
تعامل كل من MySpace وFacebook مع أشكال مختلفة من البريد العشوائي وهجمات التصيد الاحتيالي. منجم الذهب (للمحتالين) هو أن هذه الشبكات تسهل الاتصال الفوري وانتشار عمليات الاحتيال.
هناك أيضًا تقدم هنا مع نمو هذه الشبكات. الخطوة 1 هو أن الهجمات المبكرة على ماي سبيس وفيسبوك ربما كانت بدائية إلى حد ما وتعتمد على البريد الإلكتروني. الذي يأخذنا إلى الخطوة 2. ولكن بمجرد أن أدرك المهاجمون كيفية عمل الشبكات الاجتماعية، شهدنا هجمات في أوائل عام 2008 الاستفادة من منشورات حائط الفيسبوك.
وهذه طريقة فعالة للغاية لأنها تستفيد من الإحساس الزائف بالأمان الذي توفره هذه الشبكات. فهو يتطلب مزيدًا من التطوير من المهاجمين، ولكن نظرًا لشبكة تضم 140 مليون مستخدم نشط في أي شهر معين... فهذا بالتأكيد يستحق كل هذا العناء.
التالي: التحدي الأمني لتويتر -->
وبعد عام واحد، وقع هجوم نهاية الأسبوع الماضي على تويتر. لقد كان هذا هجومًا بدائيًا وصاخبًا إلى حد ما، لكنه يشير بالتأكيد إلى أن تويتر أصبح الآن سائدًا بدرجة كافية ليتم استغلاله بنجاح. من المحتمل أن يكون الأمر مرتبطًا بهجوم التصيد الاحتيالي (يُعتقد أنه كان من الممكن الوصول إلى أدوات دعم تويتر من الخارج)، وهو حقيقة أن تم اختراق 33 حساب بسبب اختراق أمن تويتر. ربما لحسن الحظ، كانت الرسائل المنشورة تحت ستار هذه الحسابات الشعبية صبيانية ولم تحاول إعادة توجيه المستخدمين إلى مواقع البرامج الإعلانية/البرامج الضارة، باستثناء الهدف الأكثر ثراءً.
في حين أن انفتاح شبكة تويتر كان على الأرجح حاسما في زيادة الوعي بالتصيد الاحتيالي الهجوم، قد يكون ضارًا أيضًا إذا كان المهاجمون المستقبليون غير واضحين قليلاً في هجماتهم محاولة. وكان حساب باراك أوباما على تويتر اخترق أيضا، ولكن بما أن تويتر كان في منتصف عملية التعامل مع فشل التصيد الاحتيالي... فقد تمت إزالة الرسالة المخالفة في غضون دقائق. تخيل لو تم استخدام هذا الحساب بمهارة بعد أيام أو أسابيع دون أن يبحث تويتر - فهو يضم أكثر من 150 ألف متابع. يمكن أن يكون كل واحد من هؤلاء المستخدمين في خطر.
يمثل تويتر تحديًا خاصًا بسبب الممارسات المقبولة عمومًا على الموقع. على سبيل المثال، ليس من غير المألوف أن يكون لدى شخص ما عشرات الآلاف من الأشخاص الذين "يتابعونه". هذا هو حلم مرسلي البريد العشوائي - عائد الاستثمار رائع عندما يؤدي اختراق حساب واحد إلى آلاف المتابعين. إنهم يذهبون بسعر مناسب في الأسواق السوداء حيث يتم تداول وبيع حسابات الشبكات الاجتماعية. علاوة على ذلك، يحظى مستخدمو تويتر بشعبية كبيرة في "إعادة التغريد" لعناوين URL أو الروابط الشائعة. ليس من الصعب أن يكتسب تطبيق بسيط شعبية فورية. حتى أن تويتر واجه مخاوف من التصيد الاحتيالي في أواخر عام 2008 عندما ظهر موقع متفرق يسمى Twitterank بين عشية وضحاها، ولكن لم يكن له تصميم أو غرض واضح. كدليل على المفهوم، قمت بعمل محاكاة ساخرة مباشرة للموقع في تويتر رائع وكان الناس أكثر من سعداء بتقديم أوراق اعتمادهم. أخيرًا، يقوم تويتر بتقصير أي عنوان URL يزيد عن 30 حرفًا ومن الشائع أن يقوم الأشخاص بذلك يدويًا لتوفير مساحة في العالم المكون من 140 حرفًا. على هذا النحو، يكاد يكون من المستحيل معرفة الوجهة النهائية للروابط مما يؤدي إلى قلة المعلومات المتوفرة لدى المستخدم لاتخاذ قرارات ذكية.
في نهاية هذا الأسبوع، تعلم مجتمع البريد العشوائي والتصيد الاحتيالي كيفية عمل تويتر. لن تتقدم محاولات التصيد إلا من هنا. مع مثل هذا الهدف المربح، لن أتفاجأ برؤية هجوم ذكي في المستقبل يتم تعديله ليتناسب مع المراوغات الخاصة بكيفية استخدام الأشخاص لتويتر مقارنة بالشبكات الأخرى.
دامون كورتيسي هو مستشار أمن المعلومات المتخصص في أمن تطبيقات الويب وتطوير المنتجات المتعلقة بالأتمتة وتصور البيانات الأمنية. وهو مدير في الخيمياء الأمن ومدونات حول أمان تطبيقات الويب على StartupSecurity.infoالتركيز على القضايا ذات الصلة بالشركات الناشئة. لا تتردد في مضايقته على تويتر حيث يعرف باسم @dacort.