.png){kind=logo}
بعد التعرف على الأمن السيبراني وصل بنا المطاف إلى ما يعرف بالهجمات الالكترونية أو الهجمات السيبرانية فمنذ عدة سنوات يواجه أمن الحاسوب صعوبات كثيرة في الحفاظ على المعلومات وهذه الهجمات متنوعة الشكل بداية من سرقة البنوك ووصولا إلى الهجمات شبه المفتوحة Semi-Open Attacks ولذلك فان موضوع اليوم سيكون هو الهجمات الالكترونية استكمالا لسلسلة الأمن السيبرانى
أولا: ما هي الهجمات الإلكترونية (Cyber attacks)
الهجمات الالكترونية أو الهجمات السيبرانية هي هجوم يتم من أحد أجهزة الكمبيوتر أو مجموعة من الأجهزة على جهاز كمبيوتر أخر أو عدة أجهزة كمبيوتر أو شبكات ويمكن تقسيم الهجمات الالكترونية ( الهجمات السيبرانية ) إلى نوعين أساسيين هما :
• هجمات تهدف إلى تعطيل جهاز الكمبيوتر المستهدف
• هجمات تهدف للوصول لبيانات جهاز الكمبيوتر المستهدف
الهجمات الإلكترونية (Cyberattacks) هي محاولات خبيثة ومنظمة لاستغلال نقاط الضعف في الأنظمة الرقمية (مثل أجهزة الكمبيوتر والشبكات والبرامج والبيانات) بهدف تحقيق أهداف غير مشروعة ويمكن أن تتراوح هذه الأهداف من سرقة المعلومات الحساسة إلى تعطيل الأنظمة أو حتى تدميرها ولفهم الهجمات الإلكترونية بشكل كامل يمكننا تقسيمها إلى عدة جوانب:
1. الهدف من الهجوم:
• سرقة المعلومات (Data Breach): الوصول غير المصرح به إلى بيانات حساسة مثل معلومات شخصية بيانات مالية أسرار تجارية أو معلومات حكومية.
• تعطيل الخدمة (Denial of Service - DoS): جعل نظام أو خدمة غير متاحة للمستخدمين الشرعيين عن طريق إغراقه بكمية هائلة من حركة المرور أو الطلبات.
• تغيير أو تدمير البيانات (Data Manipulation or Destruction): تعديل البيانات أو حذفها بشكل غير مصرح به مما يؤدي إلى فقدان المعلومات أو تزويرها.
• الحصول على وصول غير مصرح به (Unauthorized Access): الدخول إلى نظام أو شبكة دون إذن مما يتيح للمهاجم تنفيذ إجراءات ضارة.
• الابتزاز المالي (Financial Gain): استخدام الهجمات لسرقة الأموال مباشرة أو لابتزاز الضحايا (مثل برامج الفدية).
• التجسس (Espionage): جمع معلومات سرية لصالح جهة معينة مثل دولة أو منظمة.
• التخريب (Sabotage): إلحاق الضرر بالأنظمة أو البنية التحتية الرقمية.
• الدوافع السياسية أو الأيديولوجية (Hacktivism): استخدام الهجمات الإلكترونية للتعبير عن آراء سياسية أو اجتماعية أو لإحداث تأثير.
2. طرق تنفيذ الهجوم (Vectors):
• البرامج الضارة (Malware): استخدام برامج خبيثة مثل الفيروسات والديدان وأحصنة طروادة وبرامج الفدية وبرامج التجسس للوصول إلى الأنظمة أو إلحاق الضرر بها.
• التصيد الاحتيالي (Phishing): خداع المستخدمين للكشف عن معلومات حساسة من خلال رسائل بريد إلكتروني أو رسائل نصية أو مواقع ويب مزيفة.
• الهندسة الاجتماعية (Social Engineering): التلاعب النفسي بالأفراد لحملهم على اتخاذ إجراءات تعرض أمنهم للخطر.
• استغلال الثغرات الأمنية (Exploiting Vulnerabilities): استغلال نقاط الضعف في البرامج أو الأنظمة للحصول على وصول غير مصرح به.
• هجمات حجب الخدمة (DoS/DDoS): إغراق الأنظمة المستهدفة بحركة مرور كثيفة.
• حقن SQL (SQL Injection): استغلال ثغرات في تطبيقات الويب التي تستخدم قواعد بيانات SQL.
• هجمات الرجل في الوسط (Man-in-the-Middle - MitM): اعتراض الاتصال بين طرفين.
• هجمات القوة الغاشمة (Brute Force Attacks): محاولة تخمين كلمات المرور أو مفاتيح التشفير.
• التهديدات الداخلية (Insider Threats): استغلال الوصول الممنوح لموظفين حاليين أو سابقين.
3. الجهات المنفذة للهجوم (Actors):
• الأفراد (Individual Hackers): في الغالب ما يكون لديهم دوافع مالية أو فضول أو رغبة في إثبات الذات.
• المجموعات الإجرامية المنظمة (Organized Crime Groups): تهدف إلى تحقيق مكاسب مالية كبيرة من خلال سرقة البيانات أو برامج الفدية أو الاحتيال.
• الناشطون الهاكرز (Hacktivists): ينفذون هجمات لأسباب سياسية أو اجتماعية.
• الدول القومية (Nation-State Actors): تقوم بهجمات للتجسس أو التخريب أو التأثير على دول أخرى.
• الإرهابيون السيبرانيون (Cyberterrorists): يستخدمون الهجمات الإلكترونية لترويع أو إكراه الحكومات أو المدنيين.
4. تأثير الهجوم:
يمكن أن تتسبب الهجمات الإلكترونية في مجموعة واسعة من الأضرار بما في ذلك:
• خسائر مالية مباشرة: سرقة الأموال ودفع الفدية.
• خسائر مالية غير مباشرة: تكاليف الاستعادة وفقدان الإنتاجية والأضرار بالسمعة.
• سرقة الهوية: استخدام المعلومات الشخصية للضحايا في أنشطة احتيالية.
• تعطيل الأعمال والخدمات: منع الوصول إلى الأنظمة الحيوية.
• فقدان الثقة: تآكل ثقة العملاء والشركاء في المؤسسات المتضررة.
• الإضرار بالبنية التحتية الحيوية: تهديد الأمن القومي وسلامة الجمهور.
باختصار الهجمات الإلكترونية هي تهديد متزايد التعقيد والتطور في عالمنا الرقمي ومن هنا فإن فهم أنواع الهجمات وأهدافها وطرق تنفيذها والجهات الفاعلة وتأثيرها أمر ضروري للأفراد والمؤسسات والحكومات لاتخاذ التدابير الوقائية المناسبة وحماية أنفسهم من هذه المخاطر
ثانيا : أنواع الهجمات الالكترونية Types of cyber attacks
.jpg "Types of cyber attacks")
تتنوع الأشكال المستخدمة في شن هجمات الكترونية لتحقيق الأهداف في الوصول إلى عمليات التشغيل أو تعطيلها حيث يتم استخدام عدة وسائل تقنية مختلفة ودائما ما تكون هناك هذه الوسائل جديدة مبتكرة ومتداخلة وتتمثل في
1- البرامج الضارة (Malware)
.jpg "Malware")
وهي أي نوع من البرامج الضارة بغض النظر عن طريقة تكوينه أو تشغيله فهي برامج مصممة لإلحاق الضرر بجهاز الكمبيوتر أو السيرفر أو شبكة جهاز الكمبيوتر قد تسبب هذه الهجمات تعطيل جهاز الكمبيوتر أو الشبكة أو تمكين المهاجم من الوصول لمرحلة التحكم في النظام عن بعد ويمكن أن تتخذ هذه البرامج أشكالًا عديدة وتنفذ مجموعة واسعة من الأنشطة الخبيثة ومن أنواع البرامج الضارة:
• الفيروسات (Viruses):
تلتصق الفيروسات ببرامج أو ملفات تنفيذية أخرى وتنتشر عن طريق نسخ نفسها عند تشغيل الملف المصاب أو نقله إلى نظام آخر ويمكن أن تتسبب في تلف الملفات وتعطيل النظام وسرقة البيانات.
• الديدان (Worms):
هى برامج ضارة ذاتية التكاثر ولا تحتاج إلى ملف مضيف للانتشار وتستغل الثغرات الأمنية في الأنظمة والشبكات للانتشار تلقائيًا من جهاز إلى آخر ويمكن أن تستهلك موارد النظام وتبطئ الشبكة وتسبب أعطالًا.
• أحصنة طروادة (Trojans):
وتتنكر في صورة برامج أو ملفات شرعية لإغراء المستخدم بتشغيلها وبمجرد التشغيل ويمكنها تنفيذ أنشطة خبيثة في الخلفية دون علم المستخدم وتشمل أنواعها برامج التجسس وبرامج الوصول عن بعد (RATs) وبرامج تسجيل المفاتيح.
• برامج الفدية (Ransomware):
وهى التى تقوم بتشفير ملفات الضحية ومنع الوصول إليها وتطلب فدية فى العادة تكون عملة مشفرة مقابل توفير مفتاح فك التشفير ويمكن أن تستهدف الأفراد والمؤسسات على حد سواء.
• برامج التجسس (Spyware):
هى برامج تراقب أنشطة المستخدم على الجهاز سرًا وتجمع معلومات مثل ضغطات المفاتيح وسجل التصفح وبيانات الاعتماد ومعلومات شخصية أخرى وتقوم بارسال هذه المعلومات إلى طرف ثالث خبيث.
• برامج الإعلانات المتسللة (Adware):
وهى تعرض إعلانات غير مرغوب فيها بشكل متكرر للمستخدم وقد تبطئ النظام أو تجمع بيانات التصفح وفي بعض الحالات، قد تكون مرتبطة ببرامج ضارة أخرى.
• برامج التخويف (Scareware):
وهي التى تحاول خداع المستخدمين للاعتقاد بأن أجهزتهم مصابة ببرامج ضارة أو تواجه مشكلات أخرى وتحث المستخدمين على شراء برامج غير ضرورية أو ضارة لإصلاح المشكلات المزعومة.
• برامج تسجيل المفاتيح (Keyloggers):
وهى برامج تقوم بتسجيل ضغطات المفاتيح التي يقوم بها المستخدم ويمكن استخدامها لسرقة كلمات المرور وأرقام بطاقات الائتمان وغيرها من المعلومات الحساسة.
• برامج الوصول عن بعد (Remote Access Trojans - RATs):
هى برامج تمنح المهاجم سيطرة كاملة على جهاز الضحية عن بعد ويمكن استخدامها لتنفيذ أوامر والوصول إلى الملفات ومراقبة النشاط وحتى استخدام كاميرا الويب والميكروفون.
• برامج حجب الخدمة (Botnets):
هي شبكات كبيرة من الأجهزة المصابة (تسمى "bots" أو "zombies") التي يتم التحكم فيها عن بعد بواسطة مهاجم وتستخدم لتنفيذ هجمات حجب الخدمة الموزعة (DDoS) على أهداف أخرى.
• برامج المسح (Wipers):
وهى نوع مدمر من البرامج الضارة يهدف إلى مسح البيانات الموجودة على القرص الصلب أو تعطيل نظام التشغيل بشكل دائم وفي العادة لا تطلب فدية ويكون هدفها التدمير الكامل للبيانات.
طرق انتشار البرامج الضارة:
تنتشر البرامج الضارة من خلال عدة طرق منها :
• رسائل البريد الإلكتروني المصابة: تحتوي على مرفقات ضارة أو روابط تقود إلى مواقع ويب مصابة.
• مواقع الويب المخترقة: قد تقوم بتنزيل برامج ضارة تلقائيًا أو خداع المستخدمين لتنزيلها.
• محركات أقراص USB والأجهزة الخارجية المصابة: يمكن أن تنقل البرامج الضارة عند توصيلها بالجهاز.
• تنزيلات البرامج غير الموثوقة: تنزيل برامج من مصادر غير رسمية أو غير موثوقة.
• الثغرات الأمنية في البرامج والأنظمة: يمكن للمهاجمين استغلال نقاط الضعف لتثبيت برامج ضارة دون علم المستخدم.
• الهندسة الاجتماعية: خداع المستخدمين لتنفيذ إجراءات تؤدي إلى تثبيت البرامج الضارة.
2- التصيد (Phishing)
.jpg "Phishing")
التصيد هي تقنية يستخدمها مهاجمو الأجهزة في إرسال رسائل بريد إلكتروني لخداع المستهدف من أجل القيام ببعض الأعمال الضارة فيمكن خداع المستلم عن طريق تنزيل برنامج ضار متخفي في صيغة مستند هام أو المطالبة بالنقر فوق احد الروابط التي تقوم بتوجيه المستلم إلى مواقع ويب زائف حيث يتم سؤاله عن معلومات حساسة كأسماء المستخدمين وكلمات المرور الخاصة ورسائل البريد الإلكتروني المتصيدة تكون بدائية ويتم إرسالها إلى الآلاف من الضحايا ولكن بعض رسائل البريد الإلكتروني يتم صياغتها وإرسالها بشكل خاص إلى أفراد مستهدفين ذوي قيمة لمحاولة الوصول على معلومات مفيدة منهم
ويعتمد التصيد على انتحال شخصية أو مؤسسة موثوقة ومألوفة للضحية ويقوم المهاجمون بإنشاء رسائل فى العادة عبر البريد الإلكتروني ولكن يمكن أن تكون أيضًا عبر الرسائل النصية القصيرة (SMS ما يعرف باسم "Smishing") أو المكالمات الهاتفية ("Vishing") أو حتى عبر وسائل التواصل الاجتماعي وتبدو وكأنها مرسلة من جهة شرعية مثل:
• البنوك والمؤسسات المالية: يطلبون تحديث معلومات الحساب أو التحقق من معاملات مشبوهة.
• شركات التكنولوجيا الكبرى: مثل مزودي خدمات البريد الإلكتروني أو منصات التواصل الاجتماعي يزعمون وجود مشكلة في الحساب أو محاولة اختراق.
• الجهات الحكومية: مثل مصلحة الضرائب أو الشرطة، يهددون باتخاذ إجراءات قانونية إذا لم يتم تقديم معلومات معينة.
• متاجر التجزئة عبر الإنترنت: يقدمون عروضًا مغرية أو يزعمون وجود مشكلة في طلب.
• زملاء العمل أو الأصدقاء: في بعض الحالات يمكن أن يتم اختراق حساب شخص تعرفه واستخدامه لإرسال رسائل تصيد إلى جهات الاتصال الخاصة به.
خصائص رسائل التصيد:
فى الغالب تشترك رسائل التصيد في بعض الخصائص المميزة منها :
• الشعور بالإلحاح أو التهديد: تحاول الرسالة خلق شعور بالخوف أو الضغط على الضحية لاتخاذ إجراء فوري دون تفكير على سبيل المثال "يجب عليك تحديث معلومات حسابك خلال 24 ساعة وإلا سيتم تعليقه."
• أخطاء إملائية ونحوية: غالبًا ما تحتوي الرسائل على أخطاء لغوية تدل على أنها ليست مرسلة من جهة احترافية.
• روابط مشبوهة: تحتوي الرسالة على روابط تبدو وكأنها تقود إلى موقع الويب الرسمي للمؤسسة المنتحلة ولكنها في الواقع توجه الضحية إلى موقع ويب مزيف مصمم لسرقة معلوماته ويمكن التحقق من الرابط عن طريق تمرير مؤشر الماوس فوقه دون النقر.
• طلبات غير معتادة للمعلومات: تطلب الرسالة معلومات حساسة لا تطلبها المؤسسة عادة عبر البريد الإلكتروني أو الرسائل النصية.
• تصميم غير احترافي أو غير متطابق: قد لا يبدو تصميم الرسالة أو موقع الويب المزيف مطابق تماما للتصميم الرسمي للمؤسسة المنتحلة.
• عروض مغرية بشكل مبالغ فيه: وعود بجوائز كبيرة أو عروض غير واقعية لجذب الضحايا.
أنواع التصيد:
هناك أنواع مختلفة من هجمات التصيد، بما في ذلك:
• التصيد بالرمح (Spear Phishing): هجمات تصيد مستهدفة للغاية تستهدف أفرادًا أو مجموعات محددة داخل منظمة. تكون الرسائل غالبًا مخصصة وتحتوي على معلومات تجعلها تبدو أكثر مصداقية.
• صيد الحيتان (Whaling): نوع من التصيد بالرمح يستهدف كبار المسؤولين التنفيذيين في المؤسسات.
• التصيد الاحتيالي عبر الرسائل النصية القصيرة (Smishing): استخدام الرسائل النصية القصيرة (SMS) لخداع الضحايا.
• التصيد الاحتيالي عبر المكالمات الهاتفية (Vishing): استخدام المكالمات الهاتفية لانتحال شخصيات موثوقة والحصول على معلومات حساسة.
• التصيد الاحتيالي عبر وسائل التواصل الاجتماعي (Social Media Phishing): استخدام منصات التواصل الاجتماعي لإرسال رسائل خادعة أو روابط ضارة.
3- حجب الخدمات (Denial Of Service)
.jpg "Denial Of Service")
وهو أسلوب استخدام القوة الغاشمة لمحاولة إيقاف تشغيل بعض الخدمات عبر الإنترنت ومثال ذلك قيام المهاجمون بإرسال الكثير من البيانات إلى أحد مواقع الويب أو الكثير من الطلبات إلى إحدى قواعد البيانات والتي تتسبب في ملء تلك الأنظمة وتعطيلها عن العمل مما يجعلها غير متاحة لأي شخص ويستخدم هجوم حجب الخدمات الموزعة (DDoS) مجموعة من أجهزة الكمبيوتر وغالبا ما تكون مخترقة عن طريق البرامج الضارة وتحت سيطرة مجرمي الفضاء الإلكتروني مما يسهل إرسال البيانات إلى المستهدفين
كيف يعمل هجوم حجب الخدمة؟
تخيل طريق سريع مزدحم فإذا أرسل شخص واحد عدد كبير جدا من السيارات إلى هذا الطريق فسيصبح الطريق مزدحم للغاية ويتعذر على السيارات الأخرى المرور وهجوم حجب الخدمة يعمل بشكل مشابه ولكن بدلاً من السيارات يتم إرسال عدد كبير من الطلبات أو البيانات إلى نظام أو خادم مستهدف.
الهدف من هجوم حجب الخدمة:
• تعطيل الخدمة: الهدف الأساسي هو منع المستخدمين الشرعيين من الوصول إلى خدمة معينة مثل موقع ويب أو تطبيق ويب أو خادم بريد إلكتروني أو أي مورد آخر عبر الإنترنت.
• إلحاق ضرر بسمعة المؤسسة: عندما تكون خدمة ما غير متاحة، يمكن أن يؤدي ذلك إلى إحباط المستخدمين وإلحاق ضرر بسمعة المؤسسة التي تقدم تلك الخدمة.
• إلهاء فرق الأمن: قد تستخدم هجمات حجب الخدمة كستار لهجمات أخرى أكثر تعقيد تستهدف اختراق الأنظمة أو سرقة البيانات.
• الابتزاز: في بعض الحالات قد يشن المهاجمون هجمات حجب الخدمة ثم يطالبون بفدية لإيقاف الهجوم.
أنواع هجمات حجب الخدمة:
هناك أنواع مختلفة من هجمات حجب الخدمة، تعتمد على الطريقة المستخدمة لإغراق الهدف:
1. هجمات إغراق الحجم (Volume-Based Attacks):
• إغراق بروتوكول UDP (UDP Flood): إرسال عدد كبير من حزم بروتوكول UDP إلى خادم مستهدف مما يجعله يحاول معالجة هذه الحزم غير الضرورية ويستنزف موارده.
• إغراق بروتوكول ICMP (ICMP Flood أو Ping Flood): إرسال عدد كبير من طلبات بروتوكول ICMP (أوامر ping) إلى الهدف مما يجعله يرسل ردودًا ويستهلك النطاق الترددي وموارد المعالج.
• إغراق بروتوكول SYN (SYN Flood): استغلال عملية المصافحة ثلاثية الاتجاه (three-way handshake) لبروتوكول TCP ويرسل المهاجم عددًا كبيرًا من طلبات SYN ولكن لا يكمل المصافحة مما يترك الخادم ينتظر اتصالات غير مكتملة ويستنزف موارده.
2. هجمات البروتوكول (Protocol Attacks):وهى التى تستغل نقاط الضعف في بروتوكولات الشبكة لإغراق الهدف مثل :
• هجمات Ping of Death: إرسال حزم ICMP كبيرة أو مشوهة يمكن أن تتسبب في تعطل النظام المستهدف (تم معالجة معظم هذه الثغرات في الأنظمة الحديثة).
• هجمات Slowloris: إرسال طلبات HTTP جزئية إلى خادم ويب وإبقائها مفتوحة لفترة طويلة مما يستنزف اتصالات الخادم المتاحة ويمنع المستخدمين الآخرين من الوصول إليه.
3. هجمات طبقة التطبيق (Application Layer Attacks):وهي تستهدف تطبيقات محددة على الخادم وفى الغالب ما تتطلب عدد أقل من الأجهزة لتنفيذها بنجاح مثل :
• هجمات HTTP Flood: إرسال عدد كبير من طلبات HTTP GET أو POST إلى خادم ويب مما يجعله يستهلك موارد المعالج والذاكرة في محاولة معالجة هذه الطلبات.
• هجمات SQL Injection: على الرغم من أنها تستخدم أيضًا لسرقة البيانات إلا أن الحقن الخاطئ يمكن أن يؤدي إلى تعطيل قاعدة البيانات أو التطبيق.
هجمات حجب الخدمة الموزعة (Distributed Denial of Service - DDoS):
هجوم DDoS هو نوع أكثر قوة من هجوم DoS يتم فيه شن الهجوم من مصادر متعددة ومنسقة (غالبًا ما تكون أجهزة مصابة ببرامج ضارة تسمى "Botnet") وهذا يجعل من الصعب للغاية صد الهجوم وتحديد مصدره.
4- هجمات الرجل في المنتصف (Man In The Middle)
.jpg "Man In The Middle")
هجمات الرجل في المنتصف (Man-in-the-Middle - MitM) هي نوع من الهجمات الإلكترونية التي يضع فيها المهاجم نفسه سرا بين طرفين يتواصلان (مثل مستخدم وخادم ويب) لاعتراض أو التجسس أو حتى التلاعب بالبيانات المتبادلة بينهما ويتظاهر المهاجم بأنه الطرف الآخر في الاتصال مما يجعل الضحيتين تعتقدان أنهما تتواصلان بشكل مباشر وآمن بينما في الواقع يمر اتصالهما عبر المهاجم.
كيف تعمل هجمة الرجل في المنتصف
تخيل أنك تتحدث مع صديق عبر الهاتف في هجوم الرجل في المنتصف يقوم شخص آخر بالتنصت على مكالمتكما ويمكنه حتى التحدث إليكما متظاهرا بأنه أحدكما وقد لا تدركان أبدًا وجود هذا الشخص الثالث ويمكن أن تحدث هذه الهجمات بعدة طرق:
• اعتراض حركة مرور الشبكة (Network Sniffing):
يستخدم المهاجم أدوات لاعتراض حركة مرور البيانات بين جهاز الضحية والخادم وإذا لم يكن الاتصال مشفر (مثل استخدام بروتوكول HTTP بدلاً من HTTPS) يمكن للمهاجم رؤية وقراءة جميع البيانات المتبادلة بما في ذلك كلمات المرور والمعلومات الحساسة.
• انتحال عنوان IP (IP Spoofing):
يقوم المهاجم بتزييف عنوان IP الخاص به ليبدو وكأنه طرف موثوق به مما يجعله قادرًا على اعتراض الاتصالات
• تسميم ذاكرة التخزين المؤقت لنظام تحليل العنوان (ARP Cache Poisoning):
في الشبكات المحلية (LAN) ويعتمد الأجهزة على بروتوكول ARP لربط عناوين IP بعناوين MAC ويقوم المهاجم بإرسال رسائل ARP مزيفة لربط عنوان MAC الخاص به بعنوان IP لجهاز الضحية أو البوابة الافتراضية مما يسمح له باعتراض حركة المرور.
• تسميم نظام أسماء النطاقات (DNS Spoofing أو DNS Poisoning):
يقوم المهاجم بتوجيه طلبات DNS الخاصة بالضحية إلى خادم DNS مزيف يتحكم فيه وهذا يسمح للمهاجم بإعادة توجيه الضحية إلى مواقع ويب ضارة تبدو شرعية.
• اختطاف الجلسة (Session Hijacking):
عند تسجيل دخول المستخدم إلى موقع ويب يتم إنشاء ملف تعريف ارتباط (Cookie) للجلسة لتتبع حالة تسجيل الدخول وإذا تمكن المهاجم من سرقة ملف تعريف الارتباط هذا فيمكنه انتحال هوية المستخدم والوصول إلى حسابه دون الحاجة إلى كلمة المرور.
• هجمات الواي فاي الخبيثة (Evil Twin Attacks):
يقوم المهاجم بإنشاء نقطة وصول واي فاي (Hotspot) مزيفة تبدو وكأنها نقطة وصول شرعية (مثل تلك الموجودة في مقهى أو فندق) وعندما يتصل الضحايا بهذه النقطة المزيفة يمكن للمهاجم اعتراض حركة مرورهم.
• برامج التجسس (Spyware) وبرامج الوصول عن بعد (RATs):
يمكن لهذه البرامج الضارة المثبتة على جهاز الضحية أن تسمح للمهاجم بمراقبة نشاطه واعتراض البيانات وحتى التحكم في الجهاز عن بعد.
• تزييف شهادات SSL/TLS (SSL/TLS Spoofing):
يقوم المهاجم بإنشاء شهادات أمان مزيفة لمواقع ويب تبدو آمنة (HTTPS) ويمكن أن يخدع هذا الضحايا للاعتقاد بأنهم يتصلون بموقع شرعي بينما يتصلون في الواقع بموقع يسيطر عليه المهاجم.
أمثلة على هجمات الرجل في المنتصف:
• التجسس على بيانات تسجيل الدخول: اعتراض بيانات اسم المستخدم وكلمة المرور عند تسجيل الدخول إلى موقع ويب غير محمي بشكل كافي.
• سرقة معلومات بطاقات الائتمان: اعتراض تفاصيل بطاقة الائتمان أثناء عملية شراء عبر الإنترنت على موقع ويب غير آمن.
• التلاعب بالتحويلات المالية: تغيير تفاصيل حساب المستفيد أثناء تحويل أموال عبر الإنترنت.
• قراءة رسائل البريد الإلكتروني: اعتراض وقراءة رسائل البريد الإلكتروني غير المشفرة.
• زرع برامج ضارة: إدخال تعليمات برمجية ضارة في الاتصال بين الضحية والخادم.
5. حقن SQL
.jpg "حقن SQL")
حقن SQL (SQL Injection) هو نوع من الثغرات الأمنية في تطبيقات الويب التي تسمح للمهاجم بإدخال أوامر SQL ضارة في استعلامات SQL التي يتم إرسالها إلى قاعدة البيانات وإذا لم يتم تنظيف أو التحقق من صحة مدخلات المستخدم بشكل صحيح يمكن لهذه الأوامر الضارة أن تتسبب في تنفيذ قاعدة البيانات لأوامر غير مقصودة مما يؤدي إلى عواقب وخيمة مثل:
• الوصول غير المصرح به إلى البيانات الحساسة: استرداد بيانات المستخدمين وكلمات المرور والمعلومات المالية وغيرها من البيانات السرية.
• تعديل البيانات: تغيير أو تحديث أو حذف سجلات في قاعدة البيانات.
• تنفيذ أوامر نظام التشغيل: في بعض الحالات يمكن للمهاجم تنفيذ أوامر على الخادم الذي يستضيف قاعدة البيانات.
• تعطيل الخدمة (Denial of Service): التسبب في توقف عمل قاعدة البيانات أو التطبيق.
كيف يعمل حقن SQL؟
تعتمد العديد من تطبيقات الويب على قواعد بيانات SQL لتخزين واسترجاع البيانات وعندما يتفاعل المستخدم مع التطبيق على سبيل المثال عن طريق إدخال اسم مستخدم وكلمة مرور في نموذج تسجيل الدخول يتم إنشاء استعلام SQL ديناميكي بناء على مدخلات المستخدم ويتم إرساله إلى قاعدة البيانات.
تخيل نموذج تسجيل دخول بسيط حيث يتم التحقق من اسم المستخدم وكلمة المرور في قاعدة بيانات المستخدمين وقد يبدو الاستعلام SQL النموذجي كما يلي:
SQL
SELECT * FROM users WHERE username = 'اسم_المستخدم' AND password = 'كلمة_المرور';
إذا لم يتم تنظيف مدخلات المستخدم بشكل صحيح يمكن للمهاجم إدخال قيمة ضارة في حقل اسم المستخدم أو كلمة المرور وعلى سبيل المثال قد يدخل المهاجم القيمة التالية في حقل اسم المستخدم
' OR '1'='1
إذا تم دمج هذه القيمة مباشرة في الاستعلام SQL دون تنظيف فسيصبح الاستعلام كما يلي:
SQL
SELECT * FROM users WHERE username = '' OR '1'='1' AND password = 'كلمة_المرور';
بما أن الشرط '1'='1' صحيح دائمًا فإن هذا الاستعلام سيعيد جميع المستخدمين من جدول users، متجاوزا بذلك التحقق من اسم المستخدم وكلمة المرور
أنواع هجمات حقن SQL:
هناك أنواع مختلفة من هجمات حقن SQL تعتمد على كيفية استغلال الثغرة وكيفية استجابة التطبيق وقاعدة البيانات
• حقن SQL القائم على الخطأ (Error-based SQL Injection): يعتمد هذا النوع على عرض رسائل الخطأ التي تنتجها قاعدة البيانات عند وجود خطأ في بناء جملة SQL الذي تم حقنه ويمكن للمهاجم تحليل هذه الأخطاء لفهم هيكل قاعدة البيانات واستخراج المعلومات.
• حقن SQL القائم على الاتحاد (Union-based SQL Injection): يستغل هذا النوع عامل التشغيل UNION في SQL لدمج نتائج استعلام ضار مع نتائج الاستعلام الأصلي ويسمح هذا للمهاجم باسترداد بيانات إضافية من جداول أخرى في قاعدة البيانات.
• حقن SQL الأعمى (Blind SQL Injection): في هذا النوع لا يعرض التطبيق أي أخطاء مرئية ولا يتم إرجاع أي بيانات مباشرة من الاستعلام المحقون ويعتمد المهاجم على إرسال استعلامات SQL تقوم بإرجاع نتائج مختلفة بناء على صحة شرط معين (في العادة ما تكون استجابة منطقية صحيحة أو خاطئة) ويقوم بتحليل هذه الاستجابات لاستنتاج معلومات حول قاعدة البيانات. هناك نوعان فرعيان:
حقن SQL الأعمى القائم على الوقت (Time-based Blind SQL Injection): يعتمد على إدخال استعلامات SQL تجعل قاعدة البيانات تنتظر لفترة محددة إذا كان الشرط صحيحًا ويمكن للمهاجم استنتاج المعلومات بناءً على وقت استجابة الخادم.
حقن SQL الأعمى القائم على القيم المنطقية (Boolean-based Blind SQL Injection): يعتمد على إدخال استعلامات SQL تؤدي إلى استجابات مختلفة من التطبيق بناءً على صحة الشرط (مثل ظهور أو عدم ظهور عنصر معين في صفحة الويب).
• حقن SQL خارج النطاق (Out-of-band SQL Injection): في هذا النوع لا يمكن للمهاجم استرداد البيانات مباشرة عبر نفس قناة الاتصال وبدلاً من ذلك يعتمد على جعل قاعدة البيانات تتصل بخادم يتحكم فيه المهاجم لنقل البيانات.
6. هجمات دون انتظار (Zero-Day)
.jpg "Zero-Day")
وهي ثغرات في البرامج لم يتم حلها إلى الآن وسميت كذلك لأنه بمجرد إصدار حزمة يتناقص كل يوم عدد الأجهزة المفتوحة المعرضة للهجوم أثناء تسجيل المستخدم تحديثات الأمان كثيرا ما يتم شراء وبيع تقنيات استغلال الثغرات هذه على الانترنت المظلم (Dark Web) وأحيانا يتم اكتشافها من خلال الوكالات الحكومية التي قد تستخدمها لأغراض الاختراق بدلا من إصدار معلومات عامة لأجل المنفعة المشتركة
لماذا تعتبر هجمات Zero-Day خطيرة
• عدم وجود دفاعات معروفة: نظرا لأن الثغرة غير معروفة لا توجد عادة تحديثات أمنية أو برامج مكافحة فيروسات يمكنها اكتشاف الهجوم ومنعه بشكل فعال.
• صعوبة الاكتشاف: قد تمر هذه الهجمات دون أن يلاحظها أحد لفترة طويلة مما يمنح المهاجمين وقت كافي لتنفيذ أنشطتهم الخبيثة.
• تأثير كبير: يمكن أن تؤدي هجمات Zero-Day إلى سرقة بيانات حساسة أو تعطيل الأنظمة أو حتى السيطرة عليها بشكل كامل.
كيف تتم هجمات Zero-Day
• اكتشاف الثغرة: يكتشف المهاجم ثغرة أمنية غير معروفة في برنامج أو نظام ويمكن أن يتم ذلك من خلال البحث الدقيق في التعليمات البرمجية أو عن طريق الصدفة.
• تطوير الاستغلال (Exploit): يقوم المهاجم بكتابة تعليمات برمجية أو إنشاء طريقة لاستغلال هذه الثغرة الأمنية.
• تنفيذ الهجوم: يستخدم المهاجم الاستغلال لمهاجمة الأنظمة المستهدفة قبل أن يتم اكتشاف الثغرة وإصلاحها من قبل البائع ويمكن أن يتم ذلك عبر طرق متنوعة مثل رسائل البريد الإلكتروني المصابة أو مواقع الويب الخبيثة أو حتى عبر أجهزة USB مصابة.
أمثلة على هجمات Zero-Day:
• Stuxnet (2010): دودة حاسوبية معقدة استغلت أربع ثغرات Zero-Day في نظام Windows لاستهداف برنامج التحكم الصناعي المستخدم في منشآت نووية إيرانية.
• هجوم Sony Pictures Entertainment (2014): استخدم المهاجمون ثغرة Zero-Day للوصول إلى شبكات Sony وسرقة بيانات حساسة وتسريبها.
• Log4Shell (2021): ثغرة Zero-Day خطيرة في مكتبة Java شائعة الاستخدام (Log4j) سمحت للمهاجمين بتنفيذ تعليمات برمجية عن بعد على الخوادم المتأثرة.
7. هجمات القوة الغاشمة (Brute Force Attacks)
.jpg "Brute Force Attacks")
هجمات القوة الغاشمة (Brute Force Attacks) هي طريقة لاختراق الأنظمة أو الحصول على معلومات سرية (مثل كلمات المرور أو مفاتيح التشفير) عن طريق تجربة جميع الاحتمالات الممكنة بشكل منهجي حتى يتم العثور على القيمة الصحيحة. تعتمد هذه الطريقة على قوة الحوسبة لتجربة عدد كبير من التخمينات.
كيف تعمل هجمة القوة الغاشمة
تخيل أنك تحاول فتح قفل برقم سري مكون من أربعة أرقام ولا تتذكر الرقم وفي هجوم القوة الغاشمة، ستحاول تجربة جميع الأرقام الممكنة من 0000 إلى 9999 حتى تجد الرقم الصحيح في سياق الأمن السيبراني يمكن تطبيق هجمات القوة الغاشمة على مجموعة متنوعة من الأهداف ومنها:
• كسر كلمات المرور: تجربة جميع التركيبات الممكنة من الأحرف والأرقام والرموز حتى يتم العثور على كلمة المرور الصحيحة لحساب مستخدم.
• العثور على مفاتيح التشفير: تجربة جميع المفاتيح المحتملة لفك تشفير البيانات المشفرة.
• تخمين أرقام التعريف الشخصية (PINs): محاولة تخمين أرقام PIN لأجهزة الصراف الآلي أو بطاقات SIM.
• اكتشاف أسماء المستخدمين: تجربة مجموعة من أسماء المستخدمين الشائعة لمحاولة تحديد حسابات نشطة.
• تخمين عناوين URL أو معرفات الجلسات: محاولة الوصول إلى صفحات ويب مخفية أو جلسات مستخدمين آخرين عن طريق تجربة تركيبات مختلفة.
أنواع هجمات القوة الغاشمة:
هناك أنواع مختلفة من هجمات القوة الغاشمة تختلف في كيفية تنفيذها والأهداف التي تستهدفها:
• هجوم القوة الغاشمة البسيط (Simple Brute Force Attack): تجربة جميع الاحتمالات الممكنة بشكل تسلسلي ويكون هذا النوع فعالًا فقط ضد كلمات المرور القصيرة أو الضعيفة.
• هجوم القاموس (Dictionary Attack): تجربة قائمة كبيرة من الكلمات الشائعة والعبارات والأسماء التي من المحتمل أن يستخدمها الأشخاص ككلمات مرور وفي الغالب ما يكون هذا النوع أسرع وأكثر فعالية من القوة الغاشمة البسيطة ضد كلمات المرور التي تعتمد على كلمات موجودة.
• هجوم القوة الغاشمة المختلط (Hybrid Brute Force Attack): يجمع بين القوة الغاشمة وهجوم القاموس ويتم تجربة كلمات من القاموس مع إضافة تغييرات طفيفة عليها مثل إضافة أرقام أو رموز أو أحرف كبيرة.
• هجوم عكس القوة الغاشمة (Reverse Brute Force Attack): في هذا النوع يحاول المهاجم تخمين كلمات المرور لحساب مستخدم معروف واحد أو مجموعة صغيرة من المستخدمين ويتم تجربة العديد من كلمات المرور الشائعة ضد اسم المستخدم المستهدف.
عوامل تؤثر على نجاح هجمات القوة الغاشمة:
• طول وتعقيد كلمة المرور: كلما كانت كلمة المرور أطول وأكثر تعقيد (تحتوي على مزيج من الأحرف الكبيرة والصغيرة والأرقام والرموز) زاد عدد الاحتمالات التي يجب تجربتها مما يجعل الهجوم يستغرق وقت أطول ويصبح أقل فعالية.
• سرعة محاولة التخمين: تعتمد على قوة الحوسبة التي يستخدمها المهاجم ويمكن للمهاجمين استخدام أجهزة قوية أو حتى شبكات من الأجهزة (botnets) لتسريع عملية التخمين.
• وجود آليات لتأخير أو حظر المحاولات الفاشلة: العديد من الأنظمة تطبق آليات أمنية مثل تأخير محاولات تسجيل الدخول الفاشلة أو حظر عنوان IP بعد عدد معين من المحاولات الفاشلة مما يجعل هجمات القوة الغاشمة أقل فعالية.
• حجم مساحة البحث (Keyspace): هو العدد الإجمالي للاحتمالات الممكنة التي يجب تجربتها وكلما زادت مساحة البحث زاد الوقت اللازم لنجاح الهجوم.
8. استغلال الثغرات الأمنية (Exploits)
.jpg "استغلال الثغرات الأمنية (Exploits)")
استغلال الثغرات الأمنية (Exploits) هي عبارة عن تعليمات برمجية أو تسلسل من الأوامر أو البيانات التي تستغل نقطة ضعف أمنية (ثغرة) موجودة في نظام حاسوبي أو تطبيق أو جهاز أو شبكة للحصول على سلوك غير مقصود أو غير مصرح به ويمكن أن يتراوح هذا السلوك من تعطيل النظام إلى الحصول على وصول غير مصرح به أو تنفيذ تعليمات برمجية ضارة.
كيف يعمل استغلال الثغرات الأمنية
تخيل أن لديك باب في منزلك به قفل مكسور (الثغرة الأمنية) يمكن للمهاجم استخدام أداة خاصة (الاستغلال) لفتح هذا القفل المكسور والدخول إلى منزلك دون الحاجة إلى مفتاح.
في عالم الحاسوب الثغرات الأمنية هي نقاط ضعف غير مقصودة في تصميم أو تنفيذ البرامج أو الأجهزة أو الشبكات ويمكن أن تنشأ هذه الثغرات بسبب أخطاء في البرمجة أو تكوينات غير آمنة أو تصميمات معيبة وعندما يتم اكتشاف ثغرة أمنية يمكن للمهاجمين كتابة أو استخدام استغلال مصمم خصيصًا للاستفادة من هذا الضعف.
أنواع الثغرات الأمنية التي يتم استغلالها:
يمكن أن توجد الثغرات الأمنية في مجموعة متنوعة من المكونات الرقمية منها:
• نظام التشغيل (Operating System): ثغرات في النواة أو الخدمات الأساسية للنظام.
• التطبيقات (Applications): ثغرات في برامج سطح المكتب أو تطبيقات الويب.
• برامج تصفح الإنترنت (Web Browsers): ثغرات في محركات التصفح أو الإضافات.
• المكونات الإضافية (Plugins): ثغرات في إضافات المتصفحات أو التطبيقات الأخرى.
• الأجهزة (Hardware): ثغرات في البرامج الثابتة (Firmware) أو تصميم الأجهزة.
• الشبكات (Networks): ثغرات في بروتوكولات الشبكة أو تكوين الأجهزة الشبكية.
أنواع الاستغلال (Types of Exploits):
تختلف الاستغلالات في طريقة عملها والأهداف التي تحققها مثل:
• الاستغلالات المحلية (Local Exploits): تتطلب وصولًا أوليًا إلى النظام المستهدف لتنفيذها وفي الغالب ما تستخدم لرفع الامتيازات (Escalate Privileges) أي الحصول على صلاحيات أعلى من تلك التي يمتلكها المستخدم الحالي.
• الاستغلالات عن بعد (Remote Exploits): يمكن تنفيذها عبر الشبكة دون الحاجة إلى وصول مسبق إلى النظام المستهدف وفي الغالب ما تستهدف الخدمات الشبكية التي تستمع إلى اتصالات واردة.
• استغلالات يوم الصفر (Zero-Day Exploits): تستغل ثغرات أمنية غير معروفة لمطوري البرامج أو لم يتم إصلاحها بعد وتكون هذه الاستغلالات خطيرة بشكل خاص لأنه لا توجد دفاعات معروفة ضدها.
• استغلالات تجاوز سعة المخزن المؤقت (Buffer Overflow Exploits): تستغل ثغرات تحدث عندما يحاول برنامج كتابة بيانات أكثر مما تم تخصيصه لمخزن مؤقت في الذاكرة مما قد يؤدي إلى الكتابة فوق أجزاء أخرى من الذاكرة وتنفيذ تعليمات برمجية ضارة.
• استغلالات حقن التعليمات البرمجية (Code Injection Exploits): تسمح للمهاجم بإدخال وتنفيذ تعليمات برمجية ضارة على النظام المستهدف (مثل حقن SQL أو حقن الأوامر).
• استغلالات تجاوز المصادقة (Authentication Bypass Exploits): تسمح للمهاجم بتجاوز آليات المصادقة والوصول إلى النظام دون الحاجة إلى بيانات اعتماد صالحة.
كيف يتم استخدام الاستغلالات
يمكن استخدام الاستغلالات بطرق متنوعة لتحقيق أهداف خبيثة ومنها:
• الحصول على وصول غير مصرح به: السماح للمهاجم بالدخول إلى نظام أو شبكة دون إذن.
• تنفيذ تعليمات برمجية ضارة: تشغيل برامج ضارة مثل برامج التجسس أو برامج الفدية على النظام المستهدف.
• تعطيل الأنظمة (Denial of Service): التسبب في تعطل النظام أو جعله غير مستجيب.
• سرقة البيانات: الوصول إلى البيانات الحساسة ونسخها.
• تغيير البيانات: تعديل البيانات الموجودة على النظام المستهدف.
• رفع الامتيازات: الحصول على صلاحيات إدارية للتحكم الكامل في النظام.
أدوات وأطر عمل للاستغلال:
يستخدم المهاجمون (وكذلك متخصصو الأمن الأخلاقي) أدوات وأطر عمل لتطوير وتنفيذ الاستغلالات. بعض الأمثلة الشائعة تشمل:
• Metasploit Framework: إطار عمل قوي وشامل يحتوي على مجموعة كبيرة من الاستغلالات والأدوات المساعدة.
• CANVAS: إطار عمل تجاري للاختراق الأمني.
• Core Impact: أداة اختبار اختراق تجارية أخرى.
9. هجمات سلسلة التوريد (Supply Chain Attacks)
.jpg "Supply Chain Attacks")
هجمات سلسلة التوريد (Supply Chain Attacks) هي نوع من الهجمات الإلكترونية التي تستهدف المؤسسات من خلال استغلال نقاط الضعف في سلسلة التوريد الخاصة بها وتشمل سلسلة التوريد أي طرف ثالث تتعامل معه المؤسسة مثل الموردين والبائعين ومقدمي الخدمات ومطوري البرامج ومصنعي الأجهزة.
بدلا من مهاجمة الهدف الرئيسي بشكل مباشر يحاول المهاجمون اختراق أحد هذه الأطراف الثالثة الأقل أمانًا في الغالب واستخدام هذا الاختراق كطريقة للوصول إلى النظام أو البيانات الخاصة بالهدف النهائي ويمكن أن تكون هذه الهجمات فعالة للغاية لأنها تستغل الثقة الموجودة بين المؤسسة وشركائها.
كيف تعمل هجمات سلسلة التوريد
تعتمد هجمات سلسلة التوريد على فكرة أن العديد من المؤسسات تعتمد على شبكة واسعة من الموردين والشركاء لتشغيل أعمالها وإذا تمكن المهاجم من اختراق أحد هؤلاء الشركاء الذين لديهم اتصال بنظام الهدف فقد يتمكن من تجاوز دفاعات الهدف بشكل غير مباشر.
أمثلة على كيفية تنفيذ هجمات سلسلة التوريد:
• اختراق بائع برامج: يقوم المهاجم بإدخال تعليمات برمجية ضارة في تحديث برنامج شرعي يستخدمه العديد من العملاء. عندما يقوم العملاء بتثبيت التحديث يتم تثبيت البرنامج الضار على أنظمتهم مثال على ذلك هو هجوم SolarWinds.
• استهداف مزود خدمة مُدارة (MSP): يحصل مزودو الخدمات المُدارة على وصول عميق إلى شبكات عملائهم لتقديم الدعم والصيانة وإذا تم اختراق MSP يمكن للمهاجم استخدامه كبوابة للوصول إلى العديد من عملائه.
• compromise مكون مفتوح المصدر: يقوم المهاجم بإدخال تعليمات برمجية ضارة في مكتبة مفتوحة المصدر شائعة يستخدمها العديد من مطوري البرامج وعندما يقوم المطورون بدمج هذه المكتبة في تطبيقاتهم فإنهم يدخلون عن غير قصد البرنامج الضار إلى منتجاتهم.
• هجمات الأجهزة: يقوم المهاجم بزرع مكونات ضارة في الأجهزة أثناء عملية التصنيع أو التوزيع ويمكن أن تمنح هذه المكونات وصولاً خلفيًا أو تسمح بالتجسس.
• الهندسة الاجتماعية على الموردين: يستهدف المهاجمون موظفين لدى موردي الطرف الثالث لخداعهم للكشف عن بيانات اعتماد الوصول أو تثبيت برامج ضارة.
• اختراق حسابات البريد الإلكتروني الخاصة بالبائعين: يمكن للمهاجم الذي يسيطر على حساب بريد إلكتروني خاص ببائع شرعي استخدامه لإرسال رسائل تصيد احتيالي أو برامج ضارة إلى عملائه.
أنواع هجمات سلسلة التوريد:
• هجمات البرمجيات: تتضمن التلاعب بالبرامج أو تحديثاتها لنشر برامج ضارة أو الحصول على وصول غير مصرح به.
• هجمات الأجهزة: تتضمن التلاعب بالأجهزة أثناء التصنيع أو التوزيع لإدخال مكونات ضارة.
• هجمات الطرف الثالث: تستهدف المؤسسات من خلال استغلال نقاط الضعف لدى مورديها أو شركائها.
أمثلة شهيرة على هجمات سلسلة التوريد:
• هجوم SolarWinds (2020): قام مهاجمون بإدخال برنامج ضار في تحديثات برنامج Orion الخاص بشركة SolarWinds مما أثر على آلاف المنظمات الحكومية والخاصة حول العالم.
• هجوم Target (2013): تمكن المهاجمون من الوصول إلى شبكة Target من خلال بائع HVAC (تدفئة وتهوية وتكييف الهواء) كان لديه اتصال بنظام الدفع الخاص بالشركة.
الخاتمة
شعار قسم التكنولوجيا اقرا - تعلم - طور - شارك ان اعجبكم الموضوع فشاركوه لتعم الفائدة أو اترك تعليقا لتحفيزنا على الاستمرار وشكرا لمروركم الكريم..