سرقة صامتة: برمجية خبيثة متطورة تتسلل إلى بوابة موظفي بنك أمريكي وتعرّض 200,000 لخطر سرقة بيانات الاعتماد

بدأ الأمر كأي يوم عادي لأكثر من 200,000 موظف في أحد أكبر بنوك أمريكا - إلى أن تسلّل دخيل صامت إلى مكان عملهم الرقمي. خلف الكواليس، كانت حملة برمجيات خبيثة مكتشفة حديثًا تستنزف بهدوء بيانات تسجيل الدخول وتفاصيل بطاقات الدفع والمعلومات الشخصية من منصة التجارة الإلكترونية الخاصة بموظفي البنك، وكل ذلك تحت أنظار أنظمة الأمن التقليدية. هذا الاختراق لا يكشف فقط عن نقطة ضعف حرجة في دفاعات الشركات، بل يشكّل أيضًا جرس إنذار للقطاع المالي بأكمله.

حقائق سريعة

• تعرّضت بيانات اعتماد أكثر من 200,000 موظف في بنك أمريكي للكشف بسبب هجوم مسجّل مفاتيح متخفٍّ.
• عملت البرمجية الخبيثة على منصة التجارة الإلكترونية الخاصة بموظفي البنك - وهي غالبًا ما تُغفل في عمليات التدقيق.
• لم يكتشف البنية التحتية الخبيثة في البداية سوى مزوّد أمني واحد من أصل 97.
• استخدم الهجوم مُحمّلًا على مرحلتين وسرّب البيانات عبر طلبات صور متنكرة.
• تأخرت الاستجابة للحادث بسبب غياب معلومات اتصال أمنية على موقع البنك.

تشريح هجوم متخفٍّ

كُشف الاختراق على يد باحثين في الأمن السيبراني كانوا يحققون في نشاط مريب داخل متجر الموظفين الداخلي لبنك أمريكي كبير. وعلى خلاف الأنظمة المالية الرئيسية للبنك، كانت منصة التجارة الإلكترونية هذه - المستخدمة لخصومات الموظفين ومشترياتهم - قد خرجت عن نطاق عمليات التدقيق الأمني القياسية. وقد كان ذلك الإغفال مكلفًا.

نشر المهاجمون مُحمّل برمجيات خبيثة متطورًا على مرحلتين. المرحلة الأولى، شديدة الإخفاء، كانت كامنة إلى أن يصل الموظف إلى صفحة الدفع. عندها فقط كانت تُحمّل نصًا برمجيًا ثانويًا من نطاق مسجّل حديثًا، js-csp.com. هذا النص كان يحصد كل ما يُكتب في نماذج الموقع - أسماء المستخدمين وكلمات المرور وأرقام بطاقات الائتمان وغير ذلك - قبل أن يسرّب البيانات عبر طلبات منارات صور خفية صُممت لتجاوز أدوات مراقبة الشبكة.

المقلق هو مدى سهولة إفلات البرمجية الخبيثة من الرصد. ففي وقت الاكتشاف، أظهر VirusTotal أن مزوّدًا أمنيًا واحدًا فقط صنّف البنية التحتية على أنها خبيثة، ما يسلّط الضوء على فجوة خطيرة في الحلول الأمنية العامة عندما يتعلق الأمر بتهديدات التجارة الإلكترونية المتخصصة.

ولزيادة الطين بلة، أدى افتقار البنك إلى جهة اتصال أمنية منشورة (عبر security.txt) إلى تأخير الإفصاح المسؤول، ما أعاق الاستجابة للحادث بينما كان الباحثون يسارعون للتواصل عبر قنوات بديلة. وبحلول وقت اكتشاف التهديد، كانت الحملة - المرتبطة بما لا يقل عن خمس حوادث مشابهة خلال العام الماضي - قد اخترقت بالفعل مخزونًا هائلًا من البيانات الحساسة.

هذا الهجوم تذكير صارخ: المنصات الموجّهة للموظفين قد تكون ذات قيمة للمجرمين السيبرانيين بقدر المنصات الموجّهة للعملاء، خصوصًا عندما يمتلك أولئك الموظفون مفاتيح أنظمة داخلية حرجة. وتؤكد الحادثة الحاجة الملحّة إلى أن تُدرج البنوك وغيرها من المؤسسات جميع الأصول الرقمية ضمن عمليات التدقيق الأمني، وأن تطبّق مراقبة النصوص البرمجية على جانب العميل، وأن تنشر أدوات متخصصة لاكتشاف تهديدات التجارة الإلكترونية.

الخلاصة

السرقة الصامتة التي استهدفت أحد أبرز بنوك أمريكا تكشف أكثر من مجرد ثغرة تقنية - إنها تفضح نقطة عمياء منهجية في كيفية حماية المؤسسات لأصولها الداخلية. ومع استمرار المجرمين السيبرانيين في الابتكار، يجب أن تتسع حدود ما ينبغي الدفاع عنه. وبالنسبة للقطاع المالي، قد تكون كلفة تجاهل المنصات الداخلية كارثية - ليس للموظفين فحسب، بل لأمن الصناعة بأكملها.

WIKICROOK

• مسجّل المفاتيح: مسجّل المفاتيح هو أداة تسجّل سرًا كل ما يكتبه المستخدم، وغالبًا ما يستخدمها المجرمون السيبرانيون لسرقة كلمات المرور والمعلومات الحساسة.
• اثنان: المصادقة الثنائية (2FA) هي أسلوب أمني يتطلب نوعين مختلفين من التعريف للوصول إلى الحساب، ما يجعل الاختراق أصعب.
• الإخفاء: الإخفاء هو ممارسة تمويه الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمن.
• منارة صورة: منارة الصورة هي صورة مخفية ترسل سرًا البيانات المسروقة أو تتعقب المستخدمين عبر إجراء طلبات إلى خادم المهاجم.
• security.txt: security.txt هو ملف على مواقع الويب يدرج تفاصيل الاتصال للإبلاغ عن المشكلات الأمنية، ما يساعد الباحثين على الإفصاح عن الثغرات بمسؤولية.