حالة من فوضى الاختراقات والهجمات الخبيثة حملها النصف الأول من عام 2017، وهو النصف الذي شهد أيضا أكبر هجمات انتزاع للفدية (Ransomware) في التاريخ التقني حملت اسم "أريد البُكاء" (WannaCryy) التي أصابت أكثر من 300 ألف جهاز حول العالم. "أريد البكاء" ضربت أنظمة ويندوز قديمة العهد التي سبقت ويندوز 10، وهو أمر قد يكون منطقيا نوعا ما لأن مايكروسوفت -وغيرها من الشركات- دائما ما تطلب التحديث إلى آخر نسخة، أو تثبيت آخر التحديثات الأمنية تجنّبا لهذا الأمر.
هجمات أُخرى أيضا ضربت مُستندات غوغل وتسبّبت باختراق بعض الحسابات وحصول المُخترقين على صلاحيات شبه كاملة عليها، بما في ذلك إمكانية إرسال رسائل إلكترونية من حساب المستخدم دون علمه كما أن هجمات أُخرى سبقتها بدأت في الصين استهدفت حسابات مُستخدمي خدمة "آي كلاود" للتخزين السحابي من آبل. المفارقة العجيبة هي أن جميع الهجمات السابقة، سواء التي عصفت بنظام ويندوز، أو تلك التي أصابت عمالقة التقنية -آبل وغوغل-، بدأت عبر البريد الإلكتروني!
دهاء أم اختراق؟
بشكل عام، يتم جزء كبير من الاختراقات عبر استغلال الثغرات الموجودة في أجهزة المُستخدم، سواء في المُتصفّح، أو في نظام التشغيل، أو حتى في تعريف كرت الشاشة على سبيل المثال، لأن تلك الحلول البرمجية غالبا ما تحتوي على أبواب غير موصدة تحتاج فقط لمن يتجرّأ ويضغط على المقبض لفتحها على مصراعيها.
هذه الجزئية ظهرت جليّة في اختراق ويندوز، فثغرة على مستوى نظام التشغيل كانت موجودة، وتم اللجوء إلى مُرفقات البريد الإلكتروني لإشعال فتيلها وانتشارها. لكن الجزء الأكبر يتم -في السابق والآن-عبر دهاء المُخترق واعتماده على جهل المُستخدم، أي أنه يلجأ للتحايل دون وجود ثغرة أمنية في الأنظمة، وهو الحال مع اختراقات غوغل وآبل، فأنظمة تلك الشركات آمنة ولم تتعرّض للاختراق في حقيقة الأمر، لكن المُخترق نجح في إقناع المُستخدم للوقوع في شراكه.
الشريط الزمني
جميعنا كمُستخدمين نذكر رسائل التحايل التي كانت -وما تزال-تصل حتى اليوم والمكتوبة من قبل أشخاص يدّعون أنهم بحاجة ماسّة للمال بسبب كارثة طبيعية حلّت بهم، أو تلك الرسائل التي تصلنا بعنوان "مبروك لقد ربحت مليون دولار أميركي" لأن أحد الأثرياء وقع اختياره عليك وقرّر منحك هِبة مالية شريطة كتابة اسمك الثلاثي وبيانات تفصيلية عنك.
في الفترة الأخيرة استلم البعض رسالة تُخبرهم أن "فُلانا" قام بمشاركة مستند معهم مع وجود زر للتوجّه إلى المستند بشكل فوري. الضغط على ذلك الزر سيفتح رابطا جديدا في المُتصفّح، ليكون التلاعب على مستوى البيانات التي يتم تمريرها مع الرابط
وهنا قد ينجح المُخترق من خلال التصميم في خداع المُستخدم، لكن الضغط على زر تغيير كلمة المرور أو زر تأكيد الحساب من شأنه كشف الكثير، فالرابط الذي سيظهر في شريط العنوان كفيل بإعطاء فكرة عن مصدر الموقع الذي غالبا ما يكون مُزيّفا تماما، وإن كان المُخترق حذِقا، فهو سيقوم بتضمين كلمات لها علاقة برسالته، فلو كانت الرسالة خاصّة بحساب تويتر، سيحتوي الرابط على شيء من تويتر، وهذا للخداع فقط، ليكون على الشكل: "account.blabla.com/twitterAccount".
قد تبدو تلك الحملات بسيطة ولا معنى لها، أي أن المستخدم بإمكانه كشفها بسهولة تامّة، لكن وفي 2017 الحال تغيّر تماما، وهذا باستخدام أساليب جديدة لا يُمكن للمستخدم الانتباه لها بسهولة تامّة. الأسلوب الأول يعتمد على استخدام حروف بتراميز مُختلفة لكنها ظاهريا تبدو كحروف الأبجدية اللاتينية، فأسماء النطاقات (عناوين المواقع) استخدمت لفترة طويلة الحروف الإنكليزية فقط، لكن في الفترة الأخيرة سُمح باستخدام تراميز جديدة، مثل الأحرف العربية، وهو ما أدّى لقلب كل شيء رأسا على عقب.
وكمثال من أرض الواقع على استغلال أسماء النطاقات، لدينا موقع تطبيق "واتس آب" الرسمي، وهو على الشكلWhatsApp.com. المخترقون قاموا بتسجيل نطاق من الشكل "шһатѕарр.com" ونلاحظ أنه يظهر بنفس شكل نطاق "واتس آب" تقريبا، لكن مع استبدال بضعة أحرف.
هل من حلول؟
تحاول الشركات التقنية وشركات الحماية الرقمية بشتّى الوسائل إيقاف الهجمات الخبيثة من خلال رصد الروابط وحجبها أولا، أو من خلال مُراقبة الرسائل باستمرار، لكن تلك الأساليب في عالم رقمي مُتسارع لم تعد تفي بالغرض دائما. نظام التحقّق بخطوتين الذي يربط حساب المستخدم مع رقم هاتفه نظام قوي ورائع في نفس الوقت، وهو مفيد عند تسجيل الدخول من أجهزة جديدة غير معروفة أو من مواقع جغرافية جديدة، أي أن سرقة بيانات حساب المستخدم لن تفي بالغرض ولن يكون المُخترق قادرا على الاستفادة منها.
لكن نفس النظام لم -ولن- يُجدي نفعا عند استلام المستخدم نفسه لرابط خبيث أو لمحاولة حصول على صلاحيات إضافية مثلما حصل عند اختراق مستندات غوغل. الضغط على الرابط في الرسالة سيفتح حساب غوغل، ولأن المستخدم قام سابقا بتسجيل الدخول لن تُطلب كلمة المرور منه، وبالتالي ينجح المخترق في الوصول للمطلوب بأقصر الطُرق.
الحل الأمثل هو إيجاد نظام تحقّق على غرار التحقّق بخطوتين، أي أن المستخدم يقوم بربط حسابه عبر تطبيق الخدمة المتوفّر للأجهزة الذكيّة. لو فرضنا أننا نتحدث عن مستندات غوغل، المستخدم يقوم بتحميل تطبيق مستندات غوغل على هاتفه الذكي، أو على أي جهاز ذكي آخر، وبعد إتمام عملية تسجيل الدخول بإمكانه -من داخل حاسبه المكتبي- أن يفتح إعدادات حساب غوغل ويطلب ربط التطبيق مع الحساب كطبقة إضافية، بحيث يظهر رمز أمان على شاشة الجهاز الذكي يُدخلها المستخدم على الحاسب وتتم عملية التحقّق والربط.
بعد هذا الربط، سيكون بمقدور المستخدم -والنظام بطبيعة الحال- إرسال طلبات التحقّق إلى الهاتف أو الحاسب اللوحي، أي أن الضغط على رابط التحقّق الموجود داخل الرسالة البريدية لن يفتح رابطا في المُتصفّح، بل سيُرسل تنبيها لهاتف المُستخدم يُخبره بأن التطبيق الفلاني يطلب صلاحيات على الحساب، ويترك حرّية الاختيار للمستخدم نفسه. بهذه الحالة، يُمكن الحد وبشكل كبير من محاولات الاختراق عبر تزوير نطاق الموقع، أو عبر استخدام روابط عشوائية، لأنه ولو ضغط المستخدم على الزر ولم يصل التنبيه إلى الهاتف عبر التطبيق، فهذا يعني أن هناك شيئا غير نظامي ويُمكن تجاهل الرسالة لأنها مُحاولة تصيُّد لا أكثر.
حل آخر يُمكن أن يكون عبر الروابط العميقة (Deep Linking)، وهو مفهوم مُستخدم في تطبيقات غوغل وآبل مع مُحرّكات البحث. لو فرضنا أن المستخدم يبحث عن طريقة إعداد طبق ما في غوغل، ستظهر له نتائج من إحدى تطبيقات الطهي الشهيرة، الضغط على تلك النتيجة سوف يؤدّي إلى فتح تطبيق الطهي ومن ثم عرض المحتوى الذي كان المُستخدم يقرؤه، وإذا لم يكن التطبيق موجودا بالأساس يتم تحويله إلى المتجر لتحميله أولا، ومن ثم فتح المحتوى بداخله.