الهجمات السيبرانية ليست جديدة، ولكن عندما يتم اختراق شركة كبيرة، يمكن أن يكون لها عواقب وخيمة على كل من الشركة وعملائها.
عندما يتم تصحيح أحد الاختراقات، يبدو أن التكنولوجيا المتطورة تفتح اختراقًا آخر.
إن الاختراق المؤسسي البارز لشركة Target في عام 2013 وشركة Uber في عام 2016 ليس سوى مثالين من العديد من الحالات المماثلة، لكنها كانت ذات أهمية خاصة في تشكيل الرأي العام حول الأمن السيبراني.
ما هي الجرائم الإلكترونية؟
إذا كان هناك شيء واحد مؤكد، فإن “مجرمي الإنترنت مبدعون، ومبتكرون عندما يستغلون أي ثغرات أمنية، ولا يمكننا التقليل من ذلك،” سكوت شوبر، الرئيس والمدير التنفيذي لشركة الأمن السيبراني Berkeley Varitronics Systems البالغة من العمر 52 عامًا، قال لـ FOX Business أثناء مكالمة هاتفية.
قام شوبر أيضًا بتأليف كتابين، “Hacked Away” و”Cybersecurity is Each’s Business” بخصوص القرصنة، بما في ذلك التجارب الشخصية عندما تعرض هو نفسه للاختراق.
تتغير التكنولوجيا والجرائم الإلكترونية باستمرار، وكذلك الأمن السيبراني. شارك شوبر معرفته بالانتهاكات الشهيرة والتهديدات الإلكترونية الناشئة مع FOX Business، بالإضافة إلى الخطوات التي يمكن للأشخاص اتخاذها لحماية أنفسهم عبر الإنترنت.
في عام 2013، تم اختراق شركة Target عندما تمكن المتسللون من الوصول إلى قارئات بطاقات الدفع في نقاط البيع من خلال بائع خارجي لأنظمة التدفئة والتهوية وتكييف الهواء (HVAC).
يقول شوبر إنه مثلما يتم اختراق معلومات الأفراد في كثير من الأحيان بسبب إعادة استخدام كلمات المرور، غالبًا ما يتم اختراق الشركات الكبيرة من خلال طرف ثالث لديه بروتوكولات أمان سيبراني أضعف.
أثر الاختراق على البيانات التي تم جمعها حول ما يقرب من 110 مليون عميل، “لكن المفارقة في الأمر هي أنه قبل اختراق Target، كانت Target واحدة من أقوى الشركات التي تبنّت تقنية الشريحة ورقم التعريف الشخصي (PIN) الأوائل. ومن المضحك أن الأمر انتهى بهم الأمر وقال شوبر “التخلي عنه لأنه استغرق الكثير من الوقت في السجل”.
وأوضح شوبر أنه بعد اختراق الهدف، تم وضع قاعدة جديدة تجعل البائعين، وليس شركات بطاقات الائتمان، مسؤولين عن الأموال المتضمنة في المعاملات الاحتيالية باستخدام طريقة الدفع القديمة والأقل أمانًا.
يتم استخدام طريقة الشريحة ورقم التعريف الشخصي (PIN)، التي تتطلب من المستهلكين إدخال شريحة بطاقة الائتمان الخاصة بهم ثم رمز PIN الخاص بهم، في كل مكان في أوروبا. في أمريكا، يتم استخدام طريقة الشريحة والتوقيع في أغلب الأحيان، على الرغم من أن التوقيع لا يُطلب دائمًا.
وهذا يوفر الوقت، ولكنه يضحي بالأمن.
في عام 2016، وقعت شركة أوبر ضحية لخرق البيانات الذي أدى إلى تعرض معلومات 57 مليون مستخدم وسائق لشركة أوبر للخطر. وكان رد الشركة هو التستر على الأمر ودفع المال للمتسللين لحذف البيانات المسروقة.
وقال شوبر لـ FOX Business: “لقد دفعوا للمتسللين مبلغ 100 ألف دولار لحذف البيانات المسروقة والحفاظ على هدوء الاختراق”. “لذا، فالأمر أشبه بالرشوة. لكن ما فعلوه هو أنهم أخفوا المبلغ… أطلقوا عليه اسم مكافأة اكتشاف الأخطاء البرمجية.”
قال شوبر إن مكافأة الأخطاء هي عندما يحاول المتسللون الأخلاقيون الضغط على شبكتك والعثور على نقاط الضعف ويتم تعويضهم عن جهودهم.
مايكروسوفت تحذر من أن المتسللين الروس يستخدمون رسائل البريد الإلكتروني المسروقة الخاصة بالمسؤولين التنفيذيين لتوسيع نطاق الهجمات الإلكترونية
حدث الاختراق عندما قام المطورون الذين يعملون لدى Uber بتحميل كود يحتوي على بيانات اعتماد تسجيل دخول حساسة إلى موقع استضافة الكود GitHub وأدى الكشف عن التستر إلى إعادة ترتيب الشركة. ونظرًا لرد الفعل العنيف الذي أعقب ذلك فيما يتعلق بالأخلاق والخصوصية من المشرعين والمنظمين والمستخدمين، قال شوبر إن أوبر قدمت مثالًا جيدًا لكيفية عدم التعامل مع خرق البيانات.
لقد تم كسر ثقة السائقين والعملاء. قال شوبر: “وفي كل مرة أركب فيها سيارة مع أوبر، أجلس هناك وأفكر: يا إلهي، هل سيتم سرقتي هنا؟”.
مجرمو الإنترنت ماكرون. يجد البعض أن تخصصهم يسرق بطاقات الائتمان بشكل جماعي، بينما يتلاعب آخرون بمشاعر ضحاياهم من خلال بناء الثقة قبل ملاحقة المعلومات الحساسة.
استنساخ الصوت والهندسة الاجتماعية
“الكثير من التطبيقات الأكثر رعبًا – في العام الماضي أو نحو ذلك، رأيت هذا – هي بعض تطبيقات استنساخ الصوت الموجودة هناك… في الواقع، يمكنك أخذ عينة من صوت شخص ما لمدة 30 ثانية أو أكثر، ويمكنك الآن إدخال قال شوبر: “أرسل رسالة نصية واجعل التطبيق يتحدث بهذا الصوت ويتصل بشخص ما”.
وقال: “أنت تبني مستوى من الثقة، وهم يكشفون عن جزء أو أجزاء من المعلومات التي تحتاجها كهاكر للارتقاء بها إلى المستوى التالي وتعريض حساب شخص ما للخطر”.
“التصيد الاحتيالي” هو مصطلح شامل لمحاولات سرقة المعلومات باستخدام التكنولوجيا.
التصيد الصوتي، أو “التصيد الاحتيالي”، يحدث عندما يحدث ذلك عبر الهاتف.
لحماية نفسك من التصيد الاحتيالي، ثق بحدسك إذا كنت تعتقد أن مكالمة هاتفية مشبوهة، ولا تقدم أبدًا معلومات مالية أو معلومات شخصية أخرى، مثل كلمات المرور، عبر الهاتف.
ثغرات تصيد جديدة: موسم الضرائب والعقارات
يقول شوبر إن موسم الضرائب هو وقت ساخن للجرائم الإلكترونية.
يمكن للمجرمين أن ينتحلوا شخصية أحد البنوك أو مصلحة الضرائب لاستهدافك بهجمات التصيد الاحتيالي عبر البريد الإلكتروني التي غالبًا ما تخلق موقفًا حساسًا للوقت، لذلك تشعر بالذعر وتلتزم بطلبهم، على سبيل المثال، تأكيد رقم الضمان الاجتماعي الخاص بك على الفور حتى لا تفشل حساباتك. اقفل.
قد توفر رسائل البريد الإلكتروني رابطًا لموقع مصمم لتقليد موقع البنك الذي تتعامل معه أو مصلحة الضرائب الأمريكية، في حين أنك في الواقع تزود المجرمين باسم المستخدم وكلمة المرور الخاصة بك عندما تحاول تسجيل الدخول.
إذا قمت بتقديم الضرائب عبر الإنترنت وتعرضت معلوماتك للخطر، فيمكن لمجرمي الإنترنت إعادة توجيه المبالغ المستردة من الضرائب إلى حساباتهم المصرفية الخاصة.
إذا تمكن مجرمو الإنترنت من الوصول إلى حساب بريدك الإلكتروني عندما تحاول شراء منزل، فيمكنهم التظاهر بأنهم وكيل عقارات. ستتوقع بالفعل أن تسمع من وكيلك، لذلك سيخبرك المجرم بقبول عرضك ويطلب منك تحويل أموالك إلى حساب ضمان مزيف.
بمجرد وصولك إلى هناك، سيتم استخدام أموالك على الفور لشراء عملة مشفرة، مثل Bitcoin، والتي يتم استخدامها بعد ذلك لشراء أشكال أخرى من العملة المشفرة.
وقال شوبر لـFOX Business: “لا يوجد أحد لديه الموارد اللازمة لمطاردة الأموال واستعادتها لك”.
وقال شوبر: “والثغرة التي يدركها مجرمو الإنترنت هي أن أصحاب العقارات على كلا الجانبين، والأشخاص القانونيين، ليس لديهم أي مشاكل حقًا”.
“لن تتم مقاضاتهم. إذا قام شخص ما بتحويل الأموال إلى حساب خاطئ، فهذا يقع على عاتق المستهلك حقًا. لذا فقد خسرت المال، بشكل أساسي”. وقال شوبر إنه أجرى مقابلات مع العديد من ضحايا هذا النوع من الاحتيال، بما في ذلك شخص خسر 160 ألف دولار.
وميض بطاقة الائتمان
ربما تكون قد سمعت عن كاشطات بطاقات الائتمان، وهي الأجهزة التي يتم وضعها فوق أجهزة قراءة بطاقات الائتمان أو بداخلها لسرقة معلومات بطاقتك أثناء تمرير بطاقتك. الوميض عبارة عن كاشطات مصممة لسرقة المعلومات من شريحة بطاقة الائتمان الخاصة بك عند إدخالها وليس عند تمريرها. تم اختراع الرقائق لمنع هذا النوع من السرقة.
قراصنة صينيون يستعدون لـ “إحداث فوضى جسدية” في البنية التحتية الحيوية للولايات المتحدة: مدير مكتب التحقيقات الفيدرالي
يقول شوبر إن الوميض يمثل تهديدًا كبيرًا لا يعرفه سوى القليل من الناس في هذه المرحلة. بعد تنزيل جميع أرقام بطاقات الائتمان التي سرقها الوميض، يقوم المجرمون بحرقها على بطاقات جديدة. ويكون لهم بعد ذلك الحرية في إنفاق الأموال أو بيع البطاقات.
سرقة الغاز بشكل جماعي
محطات الوقود هي الأهداف الرئيسية للكاشطات والوميض. تقدم كوستكو مثالاً على حل بسيط يقطع شوطًا طويلاً نحو حماية عملائها.
وقال شوبر: “هناك ستة مفاتيح عامة لمليون ونصف مضخة غاز في جميع أنحاء الولايات المتحدة”. “يمكنك فتحه، ووضع الكاشطة هناك، وعادة ما تكون مرتبطة بوحدة بلوتوث. ثم أغلق الباب. وبعد ثلاثين ثانية، تكون قد قمت بتثبيت الكاشطة. وطالما أنك على بعد 75 إلى 100 قدم باستخدام جهاز كمبيوتر محمول وسيارة، يمكنك الآن جمع بطاقات الائتمان المسروقة من الأشخاص لاسلكيًا من تلك المضخة.”
قامت كوستكو بتعديل جميع مضخات الغاز الخاصة بها بأقفال فريدة، على عكس معظم محطات الوقود التي لا ترغب في إنفاق المبلغ الكبير من المال المطلوب للقيام بذلك، خاصة عندما يكون هناك القليل من الحوافز.
العصابات السيبرانية الرومانية المدربة
وقال شوبر لـFOX Business: “ما لا يدركه الكثير من الناس هو حجم عصابات الجرائم الإلكترونية”. “كانت هناك تقارير مؤخرًا تفيد بأن الآلاف من مجرمي الإنترنت الرومانيين المدربين قد جاءوا إلى الولايات المتحدة، وهم يقسمون الولايات المتحدة ويركزون على مناطق مختلفة حيث يمكنهم تركيب كاشطات. هذا نشاط جماعي لمجرمي الإنترنت. متوسط مضخة الغاز، عندما تكون الكاشطة عليها، تحصل على حوالي 114000 دولار قبل العثور على الكاشطة.”
عملية الاحتيال: سرقة معلومات بطاقة الائتمان لعملاء محطة الوقود، واستخدامها لشراء البنزين وبيع هذا الوقود مرة أخرى إلى محطة الوقود.
وقال شوبر: “يعود (المجرم) بمجموعة من البطاقات (المسروقة)، وعادة ما يشتري وقود الديزل لأنه أكثر ربحية قليلا”. “ويعود بشاحنة صغيرة بها حاوية سعة 600 جالون في الخلف، ويضع سيارة أجرة فوقها. ويقوم بضخ وملء 600 جالون من وقود الديزل باستخدام بطاقتك الائتمانية أو بطاقتي الائتمانية المسروقة.”
وقال شوبر إن المجرمين يقودون سياراتهم عند الزاوية ويلتقون بشاحنة الصهريج حيث يضخون الوقود المسروق. أخيرًا، يعود السائق إلى محطة الوقود ويبيع الغاز للشركة.
وقال “أنت تتحدث الآن عن مبالغ كبيرة، تتحدث عن أربعة أو خمسة دولارات للغالون مضروبة في 600 جالون في المرة الواحدة، ويتم الآن بيعها مرة أخرى إلى المحطة”.
لقد سمعت ذلك من قبل: لا تعيد استخدام كلمات المرور
يقول شوبر إن الإجراء البسيط، وإن كان غير مريح بعض الشيء، الذي يمكن لأي شخص اتخاذه لحماية نفسه بشكل أفضل عبر الإنترنت هو إنشاء كلمات مرور طويلة وقوية لا تتم مشاركتها مطلقًا مع أي شخص ولا يتم إعادة استخدامها أبدًا.
وأوضح أنه عندما يتم اختراق حساب واحد فقط، يمكن للمتسللين توصيل أسماء المستخدمين وكلمات المرور المسروقة بأدوات القرصنة الآلية التي تحاول تسجيل الدخول على أكثر من 100 موقع استخدامًا.
“بمجرد دخولهم، يغيرون كلمة المرور، ويستولون على الحساب. ومرة أخرى، إذا قمت بذلك عبر حسابات متعددة، فسوف يدخلون إلى حسابات متعددة خاصة بك، وهذا يسبب مشكلة خطيرة حقًا”. قال.
أصر شوبر أيضًا على اختلاق إجابات زائفة على الأسئلة الأمنية عند إعداد الحسابات، نظرًا لأن الكثير من الإجابات على الأسئلة المقدمة يمكن البحث عنها بسهولة.
طبقات الأمان: المتسللون كسالى
يحتفظ شوبر بنفسه بكلمات المرور المكتوبة في خزنة، ويستخدم نظام سلسلة مفاتيح كلمات المرور الخاص بـ Safari ويستخدم مدير كلمات المرور إذا كان بحاجة إلى الوصول إلى كلمات المرور أثناء التنقل.
يشبه شوبر طبقات الأمن الرقمي بطبقات الأمان الموجودة في المنزل، مثل “وضع ملصقات إنذار مزيفة، ولافتة على العشب، وكاميرا ونظام إنذار، ومسمار”.
وقال: “طبقات الأمان تمنع اللصوص من الانتقال إلى المنزل التالي والذهاب إلى الهدف السهل. المتسللون كسالى، ووقتهم هو المال. لذلك سينتقلون إلى الثمار الدانية، والأهداف السهلة”. … لذلك يجب علينا تطبيق نفس الشيء فيما يتعلق بالأمن السيبراني، وجعلهم يعملون من أجل ذلك.
استخدم الشريحة ورقم التعريف الشخصي عند الخروج
وفيما يتعلق بموضوع الشريحة ورقم التعريف الشخصي، قال شوبر: “ولكن بعد ذلك اسأل نفسك: بصرف النظر عن Target، عندما تذهب لشراء شيء ما من متجر بيع بالتجزئة، فإنك تأخذ بطاقتك التي تحتوي على الشريحة. هل سبق لك أن كتبت دبوس فعلي؟”
وأوضح شوبر أن طريقة الدفع بالرقاقة والتوقيع، وهي أسهل في التزوير، أصبحت قياسية في أمريكا، والعديد من المتاجر لا تطلب حتى التوقيع لتوفير الوقت عند الخروج.
وقال “هذا لأن الولايات المتحدة لديها أفضل القوانين المعمول بها لحماية المستهلك. وبعبارة أخرى، نحن نسترد أموالنا عندما تتعرض بطاقتنا الائتمانية أو بطاقة الخصم المباشر للخطر. ومن يدفع ثمنها؟ نحن المستهلكون”. .
وقال شوبر إن ما يقرب من 4% من الأموال التي يتم دفعها على فوائد بطاقات الائتمان تذهب نحو تلبية مطالبات الاحتيال.
قال شوبر: “لا أحد يفكر في ذلك”. “لكنك تتحدث عن مليارات لا حصر لها من الدولارات كل عام… يدفع المستهلكون الأمريكيون لمكافحة الجرائم الإلكترونية، ويدفعون كل هذه المطالبات عندما تتعرض بطاقتك للخطر، فقط لأنهم لا يفعلون ذلك بشكل صحيح.”
