شركة عقارات عالمية تتعرض لهجوم تصيد صوتي
أكدت شركة Cushman & Wakefield، إحدى أكبر شركات العقارات التجارية في العالم، وقوع حادثة أمنية مرتبطة بهجوم تصيد صوتي (Vishing). وقد تقدمت مجموعتان منفصلتان من مجرمي الإنترنت للمطالبة بالمسؤولية: تدّعي مجموعة ShinyHunters أنها سرقت 500,000 سجل من منصة Salesforce تحتوي على معلومات تعريف شخصية (PII)، فيما أعلنت مجموعة Qilin للبرامج الفدية بشكل مستقل عن هجومها الخاص على الشركة. ولا يزال غير واضح ما إذا كانت هذه الهجمات تمثل حملة منسقة واحدة أم اختراقين مستقلين، غير أن الحادثة تكشف عن حقيقة مقلقة: حتى المنظمات التي تمتلك موارد تقنية ضخمة يمكن أن تُسقطها مكالمة هاتفية مقنعة.
وصفت Cushman & Wakefield الحادثة بأنها "محدودة" النطاق، إلا أن تسريب 500,000 سجل مرتبط بمنصة CRM سحابية كبرى ليس أمراً هيناً. إذ كثيراً ما تحتوي بيئات Salesforce على بيانات الاتصال، وسجلات الصفقات، والمراسلات التجارية الحساسة. وبالنسبة لشركة تعمل في معاملات العقارات التجارية حول العالم، فإن البيانات المعرضة للخطر قد تطال العملاء والشركاء والأطراف المقابلة، متجاوزةً موظفي الشركة أنفسهم.
لماذا يُعدّ التصيد الصوتي فعّالاً في التحايل على الدفاعات التقنية
تُعدّ هجمات التصيد الصوتي خطرة بشكل خاص لأنها تتجاوز الضوابط التقنية التي تستثمر فيها معظم المنظمات بكثافة. فالجدران النارية وأنظمة اكتشاف التهديدات على الأجهزة الطرفية ومراقبة الشبكات تصبح إلى حد بعيد غير ذات جدوى حين يتصل المهاجم ببساطة بأحد الموظفين وينتحل بشكل مقنع صفة الدعم التقني أو أحد الموردين أو أحد المسؤولين التنفيذيين. هدف المهاجم هو التلاعب بإنسان لا بآلة، والبشر أصعب بكثير في التحصين.
في سيناريو التصيد الصوتي النموذجي، يخلق المتصل حالة من الإلحاح، ويرسّخ مصداقية زائفة، ثم يوجّه الهدف نحو تسليم بيانات الاعتماد، أو الموافقة على تغييرات في الحسابات، أو النقر على رابط يُثبّت برمجيات خبيثة. وما إن يحصل المهاجم على بيانات اعتماد صالحة لمنصة كـ Salesforce، حتى يستطيع التحرك داخل البيئة بصمت، مستخرجاً السجلات دون إطلاق تنبيهات واضحة. ويتبع الهجوم على Cushman & Wakefield نمطاً شائعاً عبر قطاعات متعددة: الهندسة الاجتماعية كنقطة دخول، والبيانات السحابية كغنيمة.
وهذا بالضبط ما يجعل التدابير الأمنية التقنية وحدها غير كافية. فتدريب الموظفين على الوعي الأمني، وإجراءات التحقق الصارمة للطلبات الحساسة، والبروتوكولات الواضحة المتعلقة بتغيير بيانات الاعتماد، لا تقل أهمية عن أي ضابط برمجي. والمنظمات التي تتعامل مع الأمن باعتباره مشكلة تقنية بحتة تترك في دفاعاتها ثغرة بحجم إنسان.
الحجة لصالح أمن الاتصالات متعدد الطبقات
تُثير حادثة Cushman & Wakefield تساؤلاً أشمل حول كيفية تعامل الشركات مع الاتصالات الحساسة. فحين يمكن منح الوصول إلى أنظمة تحوي مئات الآلاف من السجلات عبر مكالمة هاتفية، فهذا يدل على أن قناة الاتصال ذاتها باتت جزءاً من سطح الهجوم. إذ تُضيف قنوات الاتصال المشفرة والمتحقق منها طبقة من العوائق التي يتعين على المهاجمين تخطيها، فضلاً عن أنها تُنشئ مسارات تدقيق لا توفرها المكالمات الهاتفية غير المشفرة.
تُهم ممارسات الاتصال الآمن على كل مستوى داخل المنظمة. ويشمل ذلك استخدام المراسلة المشفرة للتنسيق الداخلي، وضمان وصول العمال عن بُعد إلى الأنظمة الحساسة عبر اتصالات آمنة وموثقة، وإرساء خطوات تحقق خارج النطاق قبل التصرف بناءً على أي طلب يتعلق ببيانات الاعتماد أو الوصول إلى الأنظمة. وهذه الممارسات ليست حكراً على الشركات الكبرى؛ فالشركات من أي حجم التي تتعامل مع معلومات التعريف الشخصية للعملاء عبر المنصات السحابية تواجه الانكشاف الجوهري ذاته.
وقد سبق أن ارتبطت مجموعة ShinyHunters بخروقات بارزة في قطاعات متعددة، وهي تزداد نشاطاً في استهداف قواعد البيانات المستضافة سحابياً. ويُبرز استخدامها المزعوم لقناة Telegram للإعلان عن مطالبتها بشأن Cushman & Wakefield مدى انفتاح هذه العمليات وجرأتها. في المقابل، يوحي إعلان مجموعة Qilin المستقل إما بأن الشركة استُهدفت من قِبل جهات متعددة استغلت الوصول الأولي ذاته، أو أن مجموعة البرامج الفدية تدّعي التورط انتهازياً لضغط على الشركة ودفعها للدفع.
ما الذي يعنيه ذلك بالنسبة لك
بالنسبة للأفراد، فإن الشاغل الأكثر إلحاحاً هو ما إذا كانت معلوماتهم ضمن الـ 500,000 سجل Salesforce الذي يُدّعى اختراقه. إن كنت قد تعاملت مع Cushman & Wakefield بوصفك عميلاً أو مستأجراً أو شريكاً تجارياً، فمن الحكمة مراقبة حساباتك بحثاً عن أي نشاط غير اعتيادي، والتنبه لمحاولات التصيد اللاحقة التي قد تستخدم بياناتك الشخصية لتبدو مشروعة.
بالنسبة للمنظمات، تُعدّ هذه الحادثة دافعاً لمراجعة كيفية منح الوصول إلى منصات CRM السحابية وإلغائه. ومن الأسئلة الجوهرية التي ينبغي طرحها: هل يستطيع موظف تفويض تغيير بيانات الاعتماد أو تصدير البيانات بناءً على طلب هاتفي وحده؟ هل خطوات التحقق للإجراءات الحساسة موثقة ومُتبعة باتساق؟ هل تأخذ خطة الاستجابة للحوادث لديك في الاعتبار الهندسة الاجتماعية كمتجه للدخول؟
يُذكّرنا خرق Cushman & Wakefield بأن ثقافة الأمن لا تقل أهمية عن أدوات الأمن. فلا يوجد استثمار تقني يُعوّض الكامل موظفين لم يتلقوا تدريباً على التعرف على المكالمات المشبوهة والإبلاغ عنها.
إجراءات عملية قابلة للتنفيذ:
- درّب الموظفين تحديداً على أساليب التصيد الصوتي، لا على التصيد الإلكتروني عبر البريد فحسب. فالهجمات الصوتية تستلزم مهارات تعرف مختلفة.
- اعتمد التحقق متعدد الخطوات لأي طلب يتعلق ببيانات الاعتماد، أو تغييرات الحسابات، أو الوصول المجمّع للبيانات، بغض النظر عن مدى مشروعية صوت المتصل.
- دقق في هوية من يملكون الوصول إلى المنصات السحابية كـ Salesforce، وطبّق مبدأ الصلاحية الدنيا: ينبغي أن يصل المستخدمون فقط إلى ما يحتاجونه فعلاً.
- أنشئ قناة داخلية واضحة وموثوقة يلجأ إليها الموظفون للتحقق من الطلبات المشبوهة قبل التصرف بناءً عليها.
- راقب نشاط تصدير البيانات غير الاعتيادي في بيئات CRM والتخزين السحابي، إذ يمكن في الغالب اكتشاف الوصول الواسع النطاق للسجلات قبل اكتمال عملية الاستخراج.
يظل العنصر البشري الثغرة الأكثر استغلالاً في أمن المؤسسات. وسدّ هذه الثغرة يتطلب الاستثمار في الأشخاص والعمليات وممارسات الاتصال الموثقة، لا في برامج أفضل فحسب.
