
لقد تغير العالم بطرق غير مسبوقة في الأسابيع العديدة الماضية بسبب جائحة فيروس كورونا. في حين أنه أظهر أفضل ما في الإنسانية من نواح كثيرة ، إلا أنه كما هو الحال مع أي أزمة يمكن أن يجتذب الأسوأ في البعض. يستخدم مجرمو الإنترنت خوف الناس وحاجتهم إلى المعلومات في هجمات التصيد الاحتيالي لسرقة المعلومات الحساسة أو نشر البرامج الضارة من أجل الربح. حتى كما تدعي بعض الجماعات الإجرامية أنها ستفعل ذلك توقف عن مهاجمة دور الرعاية الصحية ودور رعاية المسنين، الحقيقة هي أنهم لا يستطيعون التحكم بشكل كامل في كيفية انتشار البرامج الضارة.
بينما تحدث هجمات التصيد الاحتيالي وهجمات البريد الإلكتروني الأخرى بالفعل ، فإن حجم رسائل البريد الإلكتروني الضارة التي تشير إلى فيروس كورونا صغير جدًا. ومع ذلك ، يسألنا العملاء عما تفعله Microsoft للمساعدة في حمايتهم من هذه الأنواع من الهجمات ، وما الذي يمكنهم فعله لحماية أنفسهم بشكل أفضل. اعتقدنا أن هذا سيكون وقتًا مفيدًا لتلخيص كيفية عمل الاكتشاف الآلي ومشاركة الإشارات لحماية العملاء (مع مثال حديث محدد) بالإضافة إلى مشاركة بعض أفضل الممارسات التي يمكنك استخدامها شخصيًا للبقاء في مأمن من محاولات التصيد الاحتيالي.
ما الذي تفعله Microsoft
أولاً ، تبدأ 91 بالمائة من جميع الهجمات الإلكترونية بالبريد الإلكتروني. لهذا السبب فإن خط الدفاع الأول هو بذل كل ما في وسعه لمنع رسائل البريد الإلكتروني الضارة من الوصول إليك في المقام الأول. يعد نظام الدفاع متعدد الطبقات الذي يتضمن التعلم الآلي والتفجير ومشاركة الإشارات أمرًا أساسيًا في قدرتنا على العثور على هجمات البريد الإلكتروني وإيقافها بسرعة.
إذا اكتشفت أي من هذه الآليات بريدًا إلكترونيًا أو عنوان URL أو مرفقًا ضارًا ، فسيتم حظر الرسالة ولا تشق طريقها إلى صندوق الوارد الخاص بك. تم تفجير جميع الملحقات والوصلات (تم فتحها في أجهزة افتراضية معزولة). يتم استخدام التعلم الآلي ومحللات الشذوذ والاستدلال للكشف عن السلوك الضار. يقوم محللو الأمن البشري باستمرار بتقييم التقارير التي يرسلها المستخدم بشأن البريد المشبوه لتقديم رؤى إضافية وتدريب نماذج التعلم الآلي.
بمجرد تحديد ملف أو عنوان URL على أنه ضار ، تتم مشاركة المعلومات مع خدمات أخرى مثل الحماية المتقدمة من المخاطر مع Microsoft Defender (ATP) لضمان مزايا اكتشاف نقطة النهاية من اكتشاف البريد الإلكتروني والعكس صحيح.
حدث مثال مثير للاهتمام على ذلك في العمل في وقت سابق من هذا الشهر ، عندما أطلق المهاجم حملة تصيد بالرمح استمرت أقل من 30 دقيقة.
قام المهاجمون بصياغة رسالة بريد إلكتروني مصممة لتبدو وكأنها تقرير مخاطر سلسلة التوريد المشروعة لمضافات تلوين الطعام مع تحديث يعتمد على الاضطرابات الناجمة عن فيروس كورونا. ومع ذلك ، كان المرفق ضارًا وقدم حمولة معقدة ومتعددة الطبقات بناءً على Lokibot trojan (Trojan: Win32 / Lokibot.GJ! MTB).

لو تم نشر هذه الحمولة بنجاح ، لكان بإمكان المتسللين استخدامها لسرقة بيانات اعتماد الأنظمة الأخرى - في هذه الحالة حسابات وكلمات مرور FTP - والتي يمكن استخدامها بعد ذلك لشن مزيد من الهجمات.
تم استهداف 135 مستأجرًا فقط ، مع ظهور 2047 رسالة ضارة ، لكن لم يتأثر أي من العملاء بالهجوم. عملت خدمة تفجير Office 365 ATP ومشاركة الإشارات عبر الخدمات والمحللين البشريين معًا لإيقافها.
وبفضل مشاركة الإشارات عبر الخدمات ، فإن العملاء الذين لا يستخدمون خدمة بريد إلكتروني من Microsoft مثل Office 365 أو Exchange المستضاف أو Outlook.com ، ولكن باستخدام جهاز كمبيوتر يعمل بنظام Windows مع تمكين Microsoft Defender ، كانوا محميين بالكامل. عندما حاول مستخدم فتح المرفق الضار من خدمة البريد الإلكتروني غير التابعة لـ Microsoft ، بدأ Microsoft Defender ، بالاستعلام عن نماذج التعلم الآلي المستندة إلى مجموعة النظراء ووجد أن المرفق تم حظره بناءً على اكتشاف سحابي سابق لـ Office 365 ATP. تم منع المرفق من التنفيذ على جهاز الكمبيوتر وتم حماية العميل.
ما تستطيع فعله
بينما يحاول الفاعلون السيئون الاستفادة من أزمة COVID-19 ، فإنهم يستخدمون نفس التكتيكات التي يستخدمونها دائمًا. يجب أن تكون يقظًا بشكل خاص الآن لاتخاذ خطوات لحماية نفسك.
تأكد من تثبيت أحدث تحديثات الأمان على أجهزتك ومن خدمة مكافحة الفيروسات أو مكافحة البرامج الضارة. بالنسبة لأجهزة Windows 10 ، يعد Microsoft Defender Antivirus خدمة مجانية مضمنة يتم تمكينها من خلال الإعدادات. قم بتشغيل الحماية المقدمة عبر السحابة وإرسال العينات تلقائيًا لتمكين الذكاء الاصطناعي (AI) والتعلم الآلي لتحديد التهديدات الجديدة وغير المعروفة وإيقافها بسرعة.
قم بتمكين ميزات الحماية لخدمة البريد الإلكتروني الخاصة بك. إذا كان لديك Office 365 ، فيمكنك التعرف على Exchange Online Protection هنا و Office 365 ATP هنا.
استخدم المصادقة متعددة العوامل (MFA) على جميع حساباتك. توفر معظم الخدمات عبر الإنترنت الآن طريقة لاستخدام جهازك المحمول أو طرق أخرى لحماية حساباتك بهذه الطريقة. إليك معلومات حول كيفية الاستخدام Microsoft Authenticator و إرشادات أخرى حول هذا النهج.
يتوفر دعم MFA كجزء من عرض Azure Active Directory (Azure AD) المجاني. يتعلم أكثر هنا.
ثقف نفسك وأصدقائك وزملائك حول كيفية التعرف على محاولات التصيد الاحتيالي والإبلاغ عن المواجهات المشتبه بها. فيما يلي بعض علامات الحكاية.
- التهجئة والقواعد النحوية السيئة. مجرمو الإنترنت غير معروفين بقواعدهم اللغوية والهجاء. عادة ما يكون لدى الشركات أو المؤسسات المهنية طاقم تحرير لضمان حصول العملاء على محتوى احترافي عالي الجودة. إذا كانت رسالة البريد الإلكتروني مليئة بالأخطاء ، فمن المحتمل أن تكون عملية احتيال.
- روابط مشبوهة. إذا كنت تشك في أن رسالة البريد الإلكتروني هي عملية احتيال ، فلا تنقر فوق أي روابط. تتمثل إحدى طرق اختبار شرعية الارتباط في إراحة الماوس - وليس النقر فوق - فوق الارتباط لمعرفة ما إذا كان العنوان يتطابق مع ما تم كتابته في الرسالة. في المثال التالي ، يؤدي وضع الماوس على الرابط إلى إظهار عنوان الويب الحقيقي في المربع ذي الخلفية الصفراء. لاحظ أن سلسلة أرقام عناوين IP لا تشبه عنوان ويب الشركة.

- المرفقات المشبوهة. إذا تلقيت بريدًا إلكترونيًا يحتوي على مرفق من شخص لا تعرفه ، أو بريدًا إلكترونيًا من شخص تعرفه ولكن مع مرفق لم تكن تتوقعه ، فقد تكون محاولة تصيد احتيالي ، لذلك نوصيك بعدم فتح أي مرفقات حتى تتحقق من صحتها. يستخدم المهاجمون تقنيات متعددة لمحاولة خداع المستلمين للثقة في أن الملف المرفق شرعي.
- لا تثق في أيقونة المرفق.
- كن حذرًا من امتدادات الملفات المتعددة ، مثل “pdf.exe” أو “rar.exe” أو “txt.hta”.
- إذا كنت في شك ، فاتصل بالشخص الذي أرسل لك الرسالة واطلب منه تأكيد شرعية البريد الإلكتروني والمرفق.
- التهديدات. تتسبب هذه الأنواع من رسائل البريد الإلكتروني في الشعور بالذعر أو الضغط لتجعلك تستجيب بسرعة. على سبيل المثال ، قد يتضمن عبارة مثل "يجب الرد بحلول نهاية اليوم". أو تقول أنك قد تواجه عقوبات مالية إذا لم ترد.
- انتحال. يبدو أن رسائل البريد الإلكتروني المخادعة مرتبطة بمواقع إلكترونية أو شركات شرعية ولكنها تأخذك إلى مواقع احتيال زائفة أو تعرض نوافذ منبثقة تبدو مشروعة.
- عناوين الويب المعدلة. شكل من أشكال الانتحال حيث تتشابه عناوين الويب إلى حد كبير مع أسماء الشركات المعروفة ، ولكن يتم تغييرها قليلاً ؛ على سبيل المثال ، "www.micorsoft.com" أو "www.mircosoft.com".
- تحية غير صحيحة لاسمك.
- عدم التطابق. يختلف نص الارتباط وعنوان URL عن بعضهما البعض ؛ أو اسم المرسل وتوقيعه وعنوان URL مختلفين.
إذا كنت تعتقد أنك تلقيت بريدًا إلكترونيًا للتصيد الاحتيالي أو اتبعت رابطًا في رسالة بريد إلكتروني نقلك إلى موقع ويب مشبوه ، فهناك طرق قليلة للإبلاغ عما وجدته.
إذا كنت تعتقد أن البريد الذي تلقيته مريب:
- Outlook.com. إذا تلقيت رسالة بريد إلكتروني مشبوهة تطلب معلومات شخصية ، فحدد مربع الاختيار بجوار الرسالة في صندوق الوارد الخاص بك في Outlook. حدد السهم الموجود بجانب نفاية، ثم أشر إلى احتيال التصيد.
- Microsoft Office Outlook 2016 و 2019 و Microsoft Office 365. أثناء وجودك في الرسالة المشبوهة ، حدد الإبلاغ عن رسالة في ال حماية علامة التبويب على الشريط ، ثم حدد التصيد.
إذا كنت على موقع ويب مشبوه:
- مايكروسوفت إيدج. أثناء تواجدك على موقع مريب ، حدد ملف أكثر (...) رمز> ارسل رأيك > الإبلاغ عن موقع غير آمن. اتبع التعليمات الموجودة على صفحة الويب التي تظهر للإبلاغ عن موقع الويب.
- متصفح الانترنت. أثناء تواجدك على موقع مريب ، حدد رمز الترس ، وأشر إلى أمان، ثم حدد الإبلاغ عن موقع ويب غير آمن. اتبع التعليمات الموجودة على صفحة الويب التي تظهر للإبلاغ عن موقع الويب.
إذا كنت تعتقد أن لديك ملفًا مشبوهًا:
- إرسال ملف التحليل.
- إذا كنت تستخدم Office 365:
- يمكن للمسؤولين استخدام بوابة التقديمات في ال مركز التوافق والأمان لـ Office 365 لإرسال رسائل البريد الإلكتروني وعناوين URL والمرفقات إلى Microsoft لفحصها إذا تم استلامها في أحد علب بريد Exchange Online الخاصة بالمستخدم. يمكن العثور على مزيد من التفاصيل هنا.
هذا مجرد مجال واحد حيث تعمل فرق الأمان لدينا في Microsoft على حماية العملاء وسنشارك المزيد في الأسابيع القادمة. للحصول على معلومات إضافية وأفضل الممارسات للبقاء آمنين ومنتجين من خلال العمل عن بعد ودعم المجتمع والتعليم خلال هذه الأوقات الصعبة ، قم بزيارة صفحة موارد Microsoft COVID-19 للحصول على أحدث المعلومات.
بقلم Tanmay Ganacharya مدير الشريك ، البحوث الأمنية منMicrosoftPartnerNetwork