التصيّد في الاعمال المصرفية الالكترونية

المجد- خاص

هناك الكثير من التهديدات الالكترونية الموجهة الى عملاء الاعمال المصرفية الالكترونية، و اكثرها وضوحاً هي غارات التصيد و البرامج الضارّة, التي استخدمها المخترقون عبر الفيسبوك واختراق المواقع, ونذكر بالحرب الالكترونية الدائرة بين دولة الكيان والمخترق السعودي عمر الذي تمكن من كشف آلاف بطاقات الائتمان.

التصيّد – phishing :هو أحد الأنشطة الغير قانونيّة و يمثل محاولات الحصول على معلومات شخصية و سرية مثل اسم المستخدم، كلمات المرور، ارقام بطاقات الائتمان، الارقام السرية للبطاقات/ الخ..عن طريق الخداع بإرسال رسائل بريد مزيّفة تدّعي أنّها من مؤسسات شرعية.

ان هجمات التصيد غير موجهة نحو البنوك، بل الى عملاء البنوك, الاشخاص الذين يملكون حسابات في البنوك ويستعملون خدمات الاعمال المصرفية الالكترونية.

أحدث اتجاهات التصيد في عام 2010 أظهرت تباين نمو المؤسسات المنتحلة والعملاء المستهدفين، كنتيجة مباشرة للأزمة الاقتصادية. و هكذا كانت المؤسسات الاقتصادية الهدف الأزلي لمجرمي الانترنت، مع اكثر من 70% من رسائل هجمات التصيد.

سرقة مالك من تحت لوحة مفاتيحك

ان برامج التجسس، جواسيس المفاتيح (كي لوجر) و اصناف البرامج الضارة الاخرى المصممة لسرقة البيانات من جهاز الكمبيوتر هي اخطار اخرى تهدد عملاء الاعمال المصرفية البنكية. مثلاً Trojan.Spy.ZBot.UO يقلد تحديث بريء بحجم 80 KB لبرنامج Outlook/Outlook Express، والصورة التالي تظهر مضاد الفيروسات وهو يلتقط الفيروس المنتحل ويمنعه من دخول الجهاز:

http://www.security4arabs.com/wp-content/uploads/2010/11/outlook.png

كنتيجة عند التشغيل هذه البرمجيات الخبيثة فإنها تعمل على ادخال كود في إطار عملية winlogon.exe من أجل الوصول إلى الخدمات الرئيسية ، و تشغيله خلسة على الجهاز المعرض للخطر والاتصال بحرية بشبكة الإنترنت.

لغايات التجسس، تقوم (هذه البرمجيّات) بإنشاء دليل مخفي في مجلد Windows\System32 ومن ثمّ تقوم بتعبئته بثلاث ملفات مشفرة. و هنا تعمل على تخزين المعلومات الحساسة التي قامت بسرقتها من الجهاز المصاب مثل سجلات الدخول بما في ذلك، تفاصيل الاعمال المصرفية الالكترونية والبريد الالكتروني و محتواها، بالاضافة الى محفوظات النشاط على الانترنت (سجلات استخدام الإنترنت). الملفات المشفرة  تحتفظ ايضاً بتعليمات تكوين اضافية و مواصفات التحكم عن بعد و البريد المزعج – السبام.

حصان طروادة المصرفي يمثل سلالة اخرى من البرامج الخبيثة, على عكس جواسيس المفاتيح (كي لوجر) القادرة على اعتراض و ارسال كل مفتاح يقوم المستخدم بضغطه امام  الكمبيوتر، فإن حصان طروادة المصرفي قد صمم خصيصاً ليبقى نائماً معظم الوقت لعدم لفت الإنتباه ويستيقظ فقط عندما يقوم المستخدم بالدخول الى موقع لأحد البنوك، الموجودة في قائمته للمراقبة.  فيقوم البرنامج الضار بتنفيذ خدع متنوعة لاعتراض المعلومات المدخلة و ارسالها الى القاعدة.

ان هذا المستوى من  المراوغة هو الذي يجعل حصان طروادة المصرفي خفياً وصعب الايجاد:  حيث يقوم بتجنب إستهلاك الموارد التي يتطلبها برنامج التجسس على المفاتيح (كي لوغر) على الشبكة والجهاز من خلال الارسال المستمر للبيانات المعترضة عن طريق الانترنت. علاوة على ذلك، و بما انه يقوم فقط بتجميع بضع بايتات من البيانات في كل جلسة، فإنّه يكون قادراً على ارسال هذه البيانات الى موقع المهاجم عبر تعليمة get أو تعليمة post (أي كطلب تصفح أحد المواقع فقط) مما يجعله يتجنب طرق الإتصال المشبوهة.

و بما ان جميع هذه الطلبات يتمّ تنفيذها عن طريق طلب HTTP، فان حصان طروادة المصرفي لا يقلق بوجود منافذ مغلقة او جدار ناري، كذلك فإنّه يحد بشكل كبير من فرص قيام مسؤول النظام بتحديد موقع الحزمة المارة على الشبكة.

الطريقة الوحيدة لمعرفة أن هناك شيء خاطئ في هذه الحزم هي للمراقبة الفعالة لحركة مرور الشبكة الصادرة من الجهاز من خلال إطار زمني قصير عندما يقوم المستخدم بزيارة موقع الأعمال المصرفية الإلكترونية ، ويضغط على زر إرسال.

ويمكن ذلك بوضع وسيط لتسجيل البيانات بين الجهاز المراد اختباره وبين موزع الخدمة، حيث يتم تشغيل جهاز وسيط مع برنامج لتسجيل الحزمة مثل Wireshark ومراقبة حركة البيانات يدوياً.