كشف تقرير أمني حديث عن ارتفاع كبير في نشاط حملة تخريبية عبر البريد الإلكتروني، تنشر برمجيتي «كيو بوت» و«إيموتيت» الخبيثتين. وتستهدف الحملة الشركات والمؤسسات، مشيرة إلى ارتفاع عدد رسائل البريد الإلكتروني التخريبية من حوالي 3 آلاف رسالة في فبراير الماضي، إلى ما يقرب من 30 ألفًا في مارس الماضي، مع احتمال أن تكون الحملة مرتبطة بالنشاط المتزايد لشبكة «إيموتيت» الروبوتية.حملة منسقةووجد خبراء كاسبرسكي الذين أعدوا التقرير، نموا كبيرا في رسائل البريد الإلكتروني الخبيثة التي تستهدف شركات في بلدان مختلفة ضمن حملة منسقة تهدف إلى نشر برمجيتي «كيو بوت» و«إيموتيت» الخبيثتين اللتين تنتميان إلى التروجانات المصرفية سيئة السمعة العاملة ضمن الشبكات الروبوتية، وبإمكانهم سرقة بيانات المستخدمين وجمع البيانات من الشبكات المؤسسية المصابة، وتوسعة انتشارهما في الشبكة، وتثبيت برمجيات فدية أو تروجانات أخرى على الأجهزة الشبكية.وتتمثل إحدى وظائف «كيو بوت» أيضا في الوصول إلى رسائل البريد الإلكتروني وسرقتها.متعددة اللغاتواستمرت هذه الحملة لبضعة أشهر، لكن نشاطها ازداد بسرعة من بين فبراير ومارس كما ذكرنا من قبل، وجاءت تلك الرسائل باللغات الإنجليزية والفرنسية والهنجارية والإيطالية والنرويجية والبولندية والروسية والسلوفينية والإسبانية.ويعترض مجرمو الإنترنت مراسلات قائمة بين أطراف، ويرسلون إلى هذه الأطراف بريدًا إلكترونيًا يحتوي على ملف أو رابط يؤدي غالبا إلى خدمة استضافة سحابية معروفة.ويكمن الهدف من البريد الإلكتروني في إقناع المستخدمين إما بتتبع الرابط وتنزيل مستند مؤرشف وفتحه باستخدام كلمة مرور مذكورة في البريد الإلكتروني، أو فتح ملف مرفق، ويذكر المهاجمون عادة أن الملف يحتوي على بعض المعلومات المهمة، كعرض تجاري ما لإقناع المستخدمين بفتحه أو تنزيله.المستندات المؤرشفةوتستطيع الحلول الأمنية الكشف عن المستند المؤرشف بالصيغة HEUR:Trojan.MSOffice.Generic. وينزل ويشغل هذا المستند في معظم الحالات مكتبة «كيو بوت»، لكن خبراء كاسبرسكي لاحظوا أيضًا أن بعض نسخ هذا المستند تنزل البرمجية الخبيثة «إيموتيت» بدلًا من «كيوبوت».وقال أندري كوفتون، الخبير الأمني لدى كاسبرسكي، إن تقليد مراسلات العمل «خدعة شائعة» يستخدمها مجرمو الإنترنت، مشيرًا إلى أن هذه الحملة «أكثر تعقيدًا من المعتاد»، نظرًا لأن المهاجمين يعترضون محادثة قائمة ويقحمون أنفسهم فيها، ما يجعل من الصعب اكتشاف مثل هذه الرسائل. وأضاف: «بينما قد يشبه هذا المخطط هجمات اختراق البريد الإلكتروني للشركات، والتي يتظاهر فيها المهاجمون أنهم زملاء ويجرون محادثات مع الضحايا، لكن الفرق يكمن هنا في أن المهاجمين لا يستهدفون أفرادًا بعينهم؛ فالمراسلات ليست سوى وسيلة ذكية لزيادة احتمال أن يفتح المستلم الملفات المرفقة بها».تدابير حمايةوأوصت كاسبرسكي باتباع عدد من التدابير للحماية من هجمات البرمجيتين الخبيثتين، في مقدمتها التحقق من عنوان المرسل؛ إذ يأتي معظم الرسائل غير المرغوب فيها من عناوين بريد إلكتروني ليس لها معنى، وتبدو مجموعة عشوائية من الحروف والأرقام، موضحين أنه بالإمكان تمرير مؤشر الماوس فوق اسم المرسل، الذي بدوره قد تكون تهجئته غريبة، للمساعدة في رؤية عنوان البريد الإلكتروني بالكامل، وفي حال عدم الاطمئنان إلى العنوان، يمكن وضعه في محرك بحث للتحقق منه.وأكد الخبراء أنه ينبغي الحذر من الرسالة التي تخلق إحساسًا بالإلحاح؛ فغالبًا ما يحاول مرسلو البريد الإلكتروني ممارسة الضغط على متلقي الرسالة بخلق شعور بالإلحاح، مضيفين: على سبيل المثال، قد يحتوي سطر الموضوع على كلمات مثل «عاجل» أو «إجراء فوري مطلوب» للضغط على المتلقي من أجل التفاعل مع الرسالة.تدريب الموظفينودعا الخبراء الأمنيون إلى أهمية تزويد الموظفين بالتدريب الأساسي على السلامة في مجال الأمن الرقمي، موضحين أن إجراء محاكاة لهجوم تصيد، يساعد في ضمان قدرة الموظفين على التمييز بين رسائل البريد الإلكتروني المخادعة والرسائل الأصلية.وأوضحوا أن استخدام حل حماية للنقاط الطرفية وخوادم البريد الإلكتروني، يقلص فرصة الإصابة برسائل البريد الإلكتروني للتصيد الاحتيالي، مؤكدين أهمية تثبيت حل أمني موثوق به يقوم تلقائيًا بتصفية الرسائل غير المرغوب فيها.