لم تعد رسائل البريد الإلكتروني المخادعة هي الخطر الوحيد الكامن في البريد الوارد - فقد وجد المهاجمون الإلكترونيون طريقة جديدة للدخول. تعرف على Black Basta، وهي مجموعة برامج فدية ماكرة استبدلت التصيد الاحتيالي التقليدي عبر البريد الإلكتروني بانتحال شخصية MicrosoftTeams. الآن، يمكن أن تكون رسالة دعم تكنولوجيا المعلومات الودية في دردشة Teams الخاصة بك أكثر مما تراه العين، حيث تخفي عملية رانسوم وير مصممة بعناية متخفية في هيئة دعم داخلي.
الإستراتيجية المخادعة: كيف تتسلل بلاك باستا إلى فرق مايكروسوفت
لقد وجدت الشركات التابعة لـ Black Basta طريقة ذكية للتظاهر كمكاتب مساعدة للشركات مباشرة داخل Microsoft Teams. في ما يلي كيفية خداع الموظفين، خطوة بخطوة:
1. التحميل الزائد للبريد الوارد: أولاً، تمتلئ صناديق البريد الوارد للموظفين بالرسائل غير المرغوب فيها، مما يخلق بيئة مرهقة حيث يبحثون عن أي طريقة لتنظيف الأشياء.
2. انتحال شخصية الفرق: يستخدم Black Basta حسابات Microsoft Entra ID المزيفة بأسماء مثل «securityadminhelper.onmicrosoft.com» وأسماء المستخدمين المبطنة بذكاء (مثل «مكتب المساعدة») للتظاهر كجهات اتصال رسمية في مجال تكنولوجيا المعلومات.
3. رسالة «مفيدة»: يرسل Black Basta رسالة دردشة ودية تعرض إصلاح مشكلة البريد العشوائي. حتى أنهم قد يشاركون رموز QR المرتبطة بالنطاقات المشكوك فيها، والتي يمكن أن تفتح طرقًا للتصيد الاحتيالي أو البرامج الضارة.
4. إعداد الوصول البعيد: تمامًا مثل عمليات الاحتيال السابقة، تقنع Black Basta الموظفين بتثبيت أدوات الوصول عن بُعد مثل Any Desk أو Quick Assist. بمجرد التثبيت، يقومون بتشغيل حمولات ضارة مثل "AntispamAccount.exe" لاختراق الجهاز بالكامل.
5. نشر برامج الفدية: بعد الوصول، قاموا بالانتشار عبر الشبكة، مما أدى إلى زيادة الامتيازات حتى يتم نشر برامج الفدية، مما أدى إلى حظر الموظفين بشكل فعال وتهديد بيانات الشركة الحساسة.
لماذا يعمل هذا الهجوم بشكل جيد
عادةً ما تكون Microsoft Teams منصة اتصال موثوقة، خاصة مع ظهور العمل عن بُعد والعمل المختلط. يميل الموظفون إلى تقليل حذرهم، ولا يتوقعون أن تأتي التهديدات من داخل أنظمة المراسلة الداخلية الخاصة بهم. لقد استغل Black Basta هذه الثقة، مما جعل الموظفين على حين غرة عندما يكونون بالفعل عرضة للخطر من صندوق بريد مليء بالرسائل غير المرغوب فيها.
كيف يمكن للشركات حماية نفسها
توصي شركة الأمن السيبراني Reliquest، التي اكتشفت هذا الهجوم الجديد، بقصر اتصالات Teams على المجالات الموثوقة لإبعاد المحتالين. إليك ما يمكن للشركات القيام به للبقاء في المقدمة بخطوة:
1. تمكين التسجيل: قم بتنشيط التسجيل للأحداث الهامة مثل «ChatCreated» للمساعدة في تتبع أي نشاط مريب.
2. تثقيف الموظفين: علّم الموظفين أن يكونوا حذرين من الرسائل الواردة من جهات اتصال غير مألوفة، حتى في المنصات الموثوقة مثل Teams.
3. أدوات تقييد الوصول البعيد: الحد من استخدام الأدوات البعيدة مثل AnyDesk أو Quick Assist، خاصة لغير موظفي تكنولوجيا المعلومات، لمنع الوصول غير المصرح به.
4. اكتشف الأسماء والنطاقات المشبوهة: تدريب الموظفين على التعرف على أسماء العرض غير العادية والنطاقات غير المألوفة المرتبطة بحسابات Microsoft المفترضة.
الخلاصة: دعوة للاستيقاظ للأمن السيبراني
يكشف تحول Black Basta إلى Microsoft Teams عن نقطة عمياء في استراتيجيات أمان الشركات. يؤكد هذا الهجوم الجديد على أهمية التدريب المستمر وضوابط الوصول الأكثر صرامة. مع استمرار التهديدات السيبرانية في التطور، يجب أن تتطور دفاعاتنا - ليس فقط في التكنولوجيا ولكن أيضًا في وعي المستخدم والعمليات الداخلية. في عالم يكون فيه المتسللون مجرد رسالة دردشة، فإن الخط الأمامي للأمن هو القوى العاملة اليقظة والمستنيرة.
.png)
.png)