كشفت شركة Cisco Talos في تقرير حديث أن الهجمات الإلكترونية المعتمدة على الهوية – والمعروفة باسم “Identity-Based Attacks” – تشهد تزايدًا ملحوظًا، حيث أصبح المهاجمون يعتمدون بشكل كبير على بيانات اعتماد صالحة (مثل كلمات المرور وأسماء المستخدمين) لاختراق الشبكات، بدلاً من استخدام الأساليب المعقدة مثل استغلال الثغرات الأمنية أو نشر البرمجيات الخبيثة.
كيفية تنفيذ الهجوم عبر بيانات الاعتماد
وفقًا للتقرير، تعتمد عصابات برامج الفدية (Ransomware) على بيانات اعتماد مسروقة لكنها لا تزال صالحة، والتي تحصل عليها من وسطاء وصول أولي (Initial Access Brokers – IABs). هؤلاء الوسطاء يستخدمون أدوات مثل Lumma، وهي برامج سرقة معلومات تجارية، لاستخلاص بيانات اعتماد المستخدمين من أجهزتهم.
الأمر يزداد خطورة بسبب أن العديد من المستخدمين يعيدون استخدام نفس كلمات المرور عبر عدة خدمات، مما يُحدث “تأثيرًا مضاعفًا للخطر” عند سرقة تلك البيانات.
إحصائيات مقلقة
-
وفقًا لتحليلات شركة Cloudflare للفترة بين سبتمبر ونوفمبر 2024:
-
41% من عمليات تسجيل الدخول الناجحة عبر المواقع المحمية بالبنية التحتية لـ Cloudflare تضمنت كلمات مرور مخترقة.
-
-
المهاجمون يستغلون بيانات VPN الصالحة للوصول المباشر إلى الأنظمة الحساسة داخل المؤسسات، غالبًا بصلاحيات مرتفعة تحاكي صلاحيات الموظفين أو المدراء الحقيقيين.
لماذا تعتبر هجمات الهوية مفضلة للمهاجمين؟
قالت Cisco: “هجمات الهوية جذابة للمهاجمين لأنها تمكّنهم من تنفيذ مجموعة واسعة من الأنشطة الخبيثة بسهولة ودون مقاومة كبيرة من أنظمة الأمان، خاصة أن النشاط يبدو وكأنه صادر عن مستخدم شرعي.”
التحدي الأمني: صعوبة الاكتشاف
يُعد أحد أكبر تحديات هذه الهجمات هو أن الأنظمة الأمنية لا تميز بين المستخدم الشرعي والمهاجم إذا كان الأخير يستخدم بيانات اعتماد صحيحة، ما يسمح له بـ:
-
التسلل إلى الشبكات الداخلية
-
سرقة البيانات
-
نشر برامج الفدية دون أن يتم اكتشافه
استهداف تطبيقات إدارة الهوية
أظهرت بيانات Cisco أن تطبيقات إدارة الهوية والوصول (IAM) كانت الأكثر استهدافًا في هجمات المصادقة متعددة العوامل (MFA)، حيث شكلت 24% من جميع الهجمات التي استهدفت أنظمة MFA.
