الفئة: استخبارات الخصمالصناعة: الخدمات المالية والمصرفية التحفيز: الماليةالمنطقة: عالميمصدر*: A1

ملخص تنفيذي

تهديدتأثيرتخفيف

• زيادة الاستخدام الضار لخدمات النفق العكسي مثل Ngrok، واختصارات عناوين URL مثل bit.ly، لإطلاق حملات تصيد واسعة النطاق.
• تتم استضافة المواقع الضارة من الأجهزة المحلية التي لا يمكن إرجاعها إلى الجهات الفاعلة.
• الأهداف الأساسية هي البنوك وعملائها.

• يمكن بيع البيانات التي تم جمعها من مواقع التصيد الاحتيالي على الويب المظلم.
• يمكن استخدامه أيضًا لإنشاء حسابات وبطاقات مصرفية مزيفة.
• يتم بث العديد من الروابط لمدة 24 ساعة فقط، مما يجعل من الصعب تتبع الممثلين.
• فقدان الثقة في البنوك المنتحلة من قبل المواقع.

• عمليات المسح في الوقت الفعلي لتحديد نطاقات التصيد الاحتيالي، ليس فقط بالاسم، ولكن أيضًا من خلال العلامات التجارية والصور.
• الوعي بين العملاء بشأن عناوين URL الضارة.
• سياسات لضمان قيام مزودي خدمة النفق العكسي بمساعدة الضحايا على إزالة مثل هذه المواقع.

كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر حدد زيادة في مواقع التصيد الاحتيالي المستضافة باستخدام خدمات النفق العكسي. في هذا التقرير، نتعمق في كيفية استخدام الجهات الفاعلة في مجال التهديد لخدمات النفق العكسي، جنبًا إلى جنب مع أدوات تقصير عناوين URL، لتنظيم حملات واسعة النطاق، دون ترك أي أثر.

يمكن للجهات الفاعلة في مجال التهديد الآن إطلاق حملات تصيد لا يمكن تعقبها

تستهل خدمات النفق العكسي حقبة جديدة من التصيد الاحتيالي من خلال تسهيل بقاء الجهات الفاعلة في مجال التهديد بعيدًا عن الأنظار.

• يمكن للجهات الفاعلة في مجال التهديد استضافة صفحات التصيد الاحتيالي من جهازها المحلي وإنشاء عناوين URL بأسماء عشوائية لا يمكن اكتشافها بواسطة خدمات فحص أسماء النطاقات العادية.
• أدوات تقصير عناوين URL لمزيد من التعتيم على أسماء النطاقات العشوائية والتهرب من الاكتشاف.
• نظرًا لأن عناوين URL تظل حية لمدة 24 ساعة فقط، يصبح من الصعب تتبع المجموعات وأنشطتها.
• لا توجد سياسات تلزم مزودي الخدمة بمراقبة عناوين URL الضارة أو إزالتها.

التحليل والإسناد

تتطلب حملات التصيد التقليدية من الجهات الفاعلة في مجال التهديد تسجيل النطاقات مع موفري الاستضافة. وهذا يعني أنه عند اكتشاف نطاق تصيد وإبلاغ مزود الاستضافة به، طُلب منه إزالة النطاق والتعاون مع سلطات إنفاذ القانون لتعقب مجموعات الجهات الفاعلة في مجال التهديد. ومع ذلك، لا يتحمل مقدمو خدمة النفق العكسي حاليًا أي مساءلة من هذا القبيل. وهذا يجعلها قناة جذابة بشكل خاص للجهات الفاعلة في مجال التهديد لإطلاق حملات واسعة النطاق مع عدم الكشف عن هويتها. أجرى باحثو TRIAD (قسم أبحاث التهديدات وتحليلات المعلومات) في CloudSek تحليلًا متعمقًا لأكثر من 500 موقع تمت استضافتها وتوزيعها باستخدام خدمات النفق العكسي الشائعة التالية ومختصرات عناوين URL: خدمات النفق العكسيمضيف نغروك المحلي تشغيل كلاود فليرخدمات تقصير عناوين URLلكن [.] لويس [.] gdcutt [.] ly يُظهر تحليلنا أن البنوك الهندية الشهيرة مثل SBI مستهدفة بشكل خاص من قبل الجهات الفاعلة في مجال التهديد باستخدام خدمات النفق العكسي.

طريقة العمل

[معرف التسمية التوضيحية = «المرفق _19695" aligncenter «العرض ="1106"] طريقة عمل مواقع التصيد الاحتيالي المستضافة باستخدام خدمات النفق العكسي [/caption] الخطوة 1: يستضيف ممثل التهديد صفحات التصيد الاحتيالي التي تنتحل شخصية البنوك الشهيرة من جهازها المحلي. ثم يقومون بتشغيل خدمات النفق العكسي لجعل عناوين URL متاحة للمستخدمين. عادةً ما تحتوي عناوين URL على أسماء عشوائية مثل: http://776f-2401-4900-3625-4c7e-540a-4ac4-d992-7867[.]in[.]ngrok[.]io/. الخطوة 2: يتم بعد ذلك تبسيط عناوين URL باستخدام مختصرات عناوين URL لشيء غير ضار، مثل: http://ibit[.]ly/oMwK. الخطوة 3: تقوم الجهات الفاعلة في مجال التهديد بتوزيع عناوين URL المبسطة عبر البريد الإلكتروني والرسائل النصية و WhatsApp و Telegram وصفحات الوسائط الاجتماعية المزيفة وما إلى ذلك. عزيزي المستخدم، <The Target Bank Name>سيتم تعليق حسابك! اليوم يرجى تحديث بطاقة PAN الخاصة بك انقر هنا للربط https://cutt.ly/ODO2tvB شكرًا لك.قالب SMS يعرض رسالة مع عنوان URL مختصرالخطوة 4: يتم توجيه الضحايا الذين يصلون إلى صفحات التصيد الاحتيالي لمشاركة معلومات حساسة مثل:

• أوراق اعتماد مصرفية
• أرقام بطاقات Aadhaar
• أرقام بطاقة PAN

الخطوة 5: نظرًا لأن معظم عناوين URL ذات النفق العكسي يتم نشرها لمدة 24 ساعة فقط، فإن الجهات الفاعلة في مجال التهديد تحتفظ بنفس النموذج، ولكنها تنشئ عناوين URL جديدة على أساس يومي. حتى في حالة الإبلاغ عن عنوان URL أو حظره، يمكن للجهات الفاعلة في مجال التهديد استضافة صفحة أخرى بسهولة باستخدام نفس النموذج.

نظرة عامة على خدمات النفق العكسي الشهيرة

خدمة النفق العكسي من Cloudflare

• يتيح النفق العكسي لـ Cloudflare، المسمى Argo Tunnel، لأي شخص عرض خادم أو نظام محلي للإنترنت دون فتح أي منافذ.
• تقوم خدمة النفق العكسي بتشغيل عملية خفيفة على خادم المستخدم المسؤول عن إنشاء أنفاق خارجية إلى شبكة Cloudflare.
• يمكن لأي شخص لديه حساب Cloudflare استخدام هذه الخدمة مجانًا.
• يتوفر البرنامج التعليمي المفصل والوثائق على موقع الويب الرسمي الخاص بهم فيما يتعلق بكيفية إعداد Argo Tunnel على نظام محلي.
• مثال على مجال التصيد الاحتيالي المستضاف باستخدام Cloudflare:
  • عنوان URL المرسل: https://cutt[.]ly/UDbpGhs
  • عنوان URL الفعال: http://ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi/

خدمة النفق العكسي للمضيف المحلي

• localhost [.] run هي أداة بدون عميل تجعل التطبيق الذي يتم تشغيله محليًا متاحًا على الإنترنت من خلال عنوان URL.
• يستخدم هذا النفق العكسي SSH كعميل، لذلك لا يلزم التنزيل لاستخدام الخدمة دون إعداد حساب.
• إنه قادر على إعادة توجيه حركة مرور HTTP إلى التطبيق المستضاف محليًا وإضافة نقاط نهاية HTTPS المشفرة تلقائيًا.
• تأتي هذه الخدمة مع خطط Freemium والوثائق التفصيلية.
• مثال على مجال التصيد الاحتيالي المستضاف باستخدام Localhost:
  • عنوان URL المرسل: http://bit[.]ly/3pkBIUn
  • عنوان URL الفعال: https://585928ab103a05[.]localhost[.]run/

خدمة النفق العكسي في Ngrok

• يتم استخدام Ngrok لعرض الخوادم المحلية خلف NATs وجدران الحماية للإنترنت العام عبر نفق عكسي آمن.
• هذا برنامج يمكن تنزيله على جهاز محلي وتشغيله لتزويده بمنفذ خدمة الشبكة، وهو خادم ويب بشكل عام.
• تُستخدم هذه الخدمة لتشغيل الخدمات السحابية الشخصية، واستضافة مواقع الويب التجريبية دون نشرها، وإنشاء روابط الويب، وما إلى ذلك.
• يمكنه إنشاء عنوان URL عام لـ HTTPS لموقع ويب يعمل محليًا على جهاز تطوير.
• تحتوي هذه الخدمة أيضًا على خطط Freemium التي تمنح المستخدمين المرونة في استخدام النطاقات الفرعية المخصصة لأنفاق TLS من البداية إلى النهاية.
• على الرغم من أن المنطق الأساسي وراء الأنفاق العكسية لـ Cloudflare و LocalHost و Ngrok هو نفسه، نظرًا لسوء الاستخدام الواسع النطاق، يتطلب Ngrok حسابًا مسجلاً لاستضافة محتوى HTML. ويتم إعادة توجيه حركة المرور من خلال النطاق الفرعي الذي تم إنشاؤه ديناميكيًا بواسطة خدمات النفق العكسي.
• مثال على مجال التصيد الاحتيالي المستضاف باستخدام Localhost:
  • عنوان URL المرسل: http://ibit[.]ly/oMwK
  • عنوان URL الفعال: http://776f-2401-4900-3625-4c7e-540a-4ac4-d992-7867[.]in[.]ngrok[.]io/

الخطوات التالية

كلاود سيك سيستمر في مراقبة البرامج النصية الاستباقية ونشرها لالتقاط عناوين URL المرسلة علنًا والتي تم إنشاؤها للنطاقات الفرعية - *.trycloudflare.com و*.ngrok.io و *.llocalhost.run/ *.lhr.run والإبلاغ عن النشاط الضار للإزالة. سنقوم أيضًا بإخطار خدمات تقصير عناوين URL بشكل استباقي مثل cutt.ly و bit.ly و byrl.me و is.gd و shrtco.de و bitly.ws بشأن عناوين URL الضارة التي تستخدم خدماتها.

التأثير والتخفيف

التأثيرالتخفيف

• يمكن بيع البيانات التي تم جمعها من مواقع التصيد الاحتيالي على الويب المظلم. يمكن استخدامه أيضًا لإنشاء حسابات وبطاقات مصرفية مزيفة.
• يتم بث العديد من الروابط لمدة 24 ساعة فقط، مما يجعل من الصعب تتبع الممثلين.
• قد تؤدي كلمات المرور الشائعة الاستخدام أو كلمات المرور الضعيفة إلى هجمات القوة الغاشمة.
• فقدان الثقة في المنظمات التي تنتحل شخصيتها صفحات التصيد الاحتيالي.
• سيزود الجهات الفاعلة الخبيثة بالتفاصيل المطلوبة لشن هجمات رانسوم وير متطورة.

• يجب رفع مستوى الوعي بين العملاء لتنبيههم عند النقر على عناوين URL الصحيحة فقط وليس عناوين URL التي لا يمكن تمييزها.
• عمليات المسح في الوقت الفعلي لتحديد نطاقات التصيد الاحتيالي، ليس فقط بالاسم، ولكن أيضًا من خلال العلامات التجارية والصور.
• خلق الوعي بين العملاء فيما يتعلق بعناوين URL الضارة.
• تنفيذ السياسات التي تضمن أن مقدمي خدمات النفق العكسي يساعدون الضحايا على إزالة مثل هذه المواقع.

المراجع

• *https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol