يستهدف شبكات الاتصال السريع المنزلي

يستهدف شبكات الاتصال السريع المنزلي


دراسة تكشف عن احتمال تعرض نصف مستخدمي الحزمة العريضة لمخاطر هجوم "تزوير العناوين محلياً"



أعلنت شركة سيمانتيك أن مركز سيمانتيك للاستجابة الأمنية بالتعاون مع مدرسة المعلوماتية التابعة لجامعة إنديانا الأمريكية كشف النقاب عن تهديد أمني جديد خطير، وفي هذا الهجوم الذي أطلق عليه "تزوير العناوين محلياً" (Drive-by Pharming)، يقع المستهلكون ضحية للاحتيال من خلال تغيير إعدادات أجهزة التوجيه (routers) الخاصة بالاتصال السريع بالإنترنت في منازلهم من قبل موقع شبكي خبيث.


وطبقاً لدراسة منفصلة غير رسمية أجرتها جامعة إنديانا، فإن ما يصل إلى 50% من مستخدمي الاتصال السريع عبر شبكات الحزمة العريضة في المنازل عرضة لهذا الهجوم.


في هجمات تزوير العناوين pharming التقليدية، يعمل المهاجم على إعادة توجيه المستخدم الذي يحاول زيارة موقع شبكي معين، إلى موقع آخر زائف. ويمكن تنفيذ هذا النوع من الهجوم إما عن طريق تغيير ملف أسماء الخوادم المضيفة على حاسوب الضحية أو من خلال التلاعب بنظام أسماء النطاقاتDNS . أما تزوير العناوين محلياً، فهو نوع جديد من المخاطر، يحصل عندما يزور المستخدم موقعاً شبكياً خبيثاً، ومن ثم يتمكن المهاجم من تغيير إعدادات نظام أسماء النطاقات على جهاز التوجيه router غير المحمي والخاص بالاتصال السريع لدى هذا المستخدم، أو على نقطة الوصول اللاسلكي التي يستخدمها. وتعتبر خادمات نظام أسماء النطاقات مسؤولة عن تحويل أسماء مواقع الإنترنت إلى عناوينها الفعلية، حيث تعمل بمثابة لوحات الدلالة والإرشاد على الإنترنت.


وحتى يتمكن حاسوبان من الاتصال بأحدهما الآخر على الإنترنت، فلابد أن يعرف كل منهما عنوان IP الخاص بالآخر. ويحدث هجوم "تزوير العناوين محلياً" عندما لا يكون جهاز التوجيه الخاص بالاتصال السريع محمياً بكلمة سر، أو إذا كان المهاجم قادراً على تخمين كلمة السر، فمثلاً تأتي معظم أجهزة التوجيه مزودة بكلمة سر افتراضية معروفة تماماً وقلما يغيرها المستخدم.


ويتضمن تزوير العناوين محلياً استخدام شيفرة جافاسكريبت لتغيير إعدادات جهاز التوجيه الخاص بالاتصال السريع في منازل المستخدمين، فبمجرد أن ينقر المستخدم على رابط خبيث، تعمل شيفرة جافاسكريبت الخبيثة لتغيير إعدادات نظام أسماء النطاقات DNS على جهاز التوجيه الخاص بهذا المستخدم.


وانطلاقاً من هنا، ففي كل مرة يتوجه فيها المستخدم إلى موقع شبكي، يتولى حاسوب المهاجم بنفسه عملية تحويل أسماء النطاقات. وهذه العملية تتعلق بتحديد عناوين الإنترنت التي يشير إليها الاسم المتعارف عليه لأي موقع شبكي.


وهذا يعطي المهاجم تحكماً كاملاً بالمواقع التي يدفع الضحية لزيارتها على الإنترنت.


فعلى سبيل المثال، قد يعتقد المستخدم أنه يزور الموقع الشبكي الخاص بالمصرف الذي يتعامل معه، بينما تمت إعادة توجيهه في الحقيقة إلى موقع المهاجم.


وهذه المواقع المزيفة عادة ما تكون نسخة طبق الأصل من الموقع الفعلي الذي يرغب المستخدم في زيارته،. ولذا، فمن المحتمل جداً ألا يتعرف المستخدم على الفرق بينهما.



وبمجرد إعادة توجيه هذا المستخدم إلى موقع "مصرف" المهاجم، وقيامه بإدخال اسم المستخدم وكلمة السر الخاصة به، فيمكن للمهاجم سرقة هذه المعلومة.


وبعد ذلك، يصبح المهاجم قادراً على الوصول إلى حساب الضحية على موقع المصرف الحقيقي وتحويل رصيده، أو إنشاء حسابات جديدة، وتحرير شيكات.


ويوصي مركز الاستجابة الأمنية لدى سيمانتيك المستخدمين باتباع إستراتيجية حماية متعددة الطبقات من حيث الحرص على حماية أجهزة التوجيه الخاصة بالمستخدمين بكلمات سر فريدة وقوية، حيث إن معظم أجهزة التوجيه تأتي مزودة بكلمة سر افتراضية للمدير يسهل على المهاجمين تخمينها، ويجب استخدام حل أمني شبكي يجمع بين أداة لمكافحة الفيروسات وجدار ناري وأداة لاكتشاف محاولات الاقتحام واكتشاف الثغرات الأمنية، ويجب تجنب النقر على الروابط التي تبدو مريبة، مثل تلك الروابط التي ترسل لك في رسائل بريد إلكتروني من شخص لا تعرفه.


ولا يمكن للحلول الأمنية المتوافرة في السوق اليوم توفير الحماية من هذا النوع من الهجمات، حيث أن هجمات تزوير العناوين محلياً تستهدف تحديداً جهاز التوجيه الشبكي (الراوتر) لدى المستخدم، بينما توفر الحلول الموجودة حالياً الحماية لنظام الحاسوب فقط. وتعمل وحدة أعمال المستهلكين في سيمانتيك الآن على ابتكار حلول تساعد في مواجهة هذه المشكلة، باستخدام تقنيات تعمل على حواسيب المستهلكين وتتصدى لهذا الهجوم آلياً باستخدام عدد من الأساليب التقنية المضمنة في مكدس الشبكة، وفي المتصفح.

شكرا على المشاركة