شهدت هجمات حشو بيانات الاعتماد (Credential Stuffing) تأثيرًا كبيرًا في عام 2024، مدعومة بدائرة مفرغة من إصابات برامج سرقة المعلومات (Infostealer) وانتهاكات البيانات. ولكن الأمور قد تتفاقم أكثر مع ظهور “وكلاء استخدام الحاسوب” (Computer-Using Agents)، وهي نوع جديد من وكلاء الذكاء الاصطناعي التي تمكن من أتمتة المهام الشائعة على الويب بتكلفة وجهد منخفضين — بما في ذلك المهام التي يقوم بها المهاجمون بشكل متكرر.
بيانات الاعتماد المسروقة: سلاح المجرمين الإلكترونيين المفضل في 2024
كانت بيانات الاعتماد المسروقة الإجراء الأكثر شيوعًا للمهاجمين في 2023/2024، وتمثلت في 80% من هجمات تطبيقات الويب. وهذا ليس مفاجئًا عندما نعلم أن مليارات بيانات الاعتماد المسربة متداولة على الإنترنت، ويمكن للمهاجمين الحصول على أحدث التسريبات مقابل 10 دولارات فقط في المنتديات الإجرامية.
استفاد السوق الإجرامي لبيانات الاعتماد المسروقة من انتشار انتهاكات البيانات البارزة في عام 2024، مثل الهجمات على عملاء Snowflake باستخدام بيانات اعتماد مسربة من انتهاكات البيانات وحملات التصيد الجماعي، مما أدى إلى اختراق 165 عميلًا ومئات الملايين من السجلات.
ولكن على الرغم من أن عام 2024 كان عامًا غير مسبوق من حيث تأثير الهجمات القائمة على الهوية، إلا أن هناك إمكانات كبيرة لم يتم استغلالها بعد من قبل المهاجمين.
أتمتة هجمات بيانات الاعتماد — ما الذي تغير مع التحول إلى SaaS؟
لم تكن هجمات القوة العمياء (Brute Forcing) وحشو بيانات الاعتماد جديدة، بل كانت جزءًا أساسيًا من أدوات المهاجمين الإلكترونيين لعقود. ولكن لم يعد من السهل رش بيانات الاعتماد تلقائيًا عبر الأنظمة كما كان في السابق.
لم يعد هناك حل واحد يناسب الجميع
بدلًا من وجود شبكة مركزية واحدة تحتوي على التطبيقات والبيانات ضمن حدود البنية التحتية، أصبحت أنظمة تقنية المعلومات للشركات تتكون من مئات التطبيقات والمنصات القائمة على الويب، مما يخلق آلاف الهويات لكل منظمة.
هذا يعني أن الهويات أصبحت أيضًا لامركزية ومتوزعة عبر الإنترنت، بدلًا من تخزينها فقط في أنظمة الهوية مثل Active Directory. كما أن التطبيقات الحديثة أصبحت معقدة ومخصصة للغاية، مع واجهات رسومية مختلفة كل مرة. ولجعل الأمور أكثر تعقيدًا، تم تصميم التطبيقات الحديثة خصيصًا لمنع الأتمتة الخبيثة من خلال حماية الروبوتات مثل CAPTCHA.
لذلك، بدلًا من مواجهة بروتوكولات قياسية وكتابة أدوات واحدة للاستخدام عبر أي بيئة، أصبح تطوير أدوات مخصصة مطلوبًا لكل تطبيق مستهدف.
الاستغراق في متاهة البحث
ليس هناك فقط المزيد من البيئات التي يجب على المهاجمين تضمينها في نطاق هجومهم، ولكن هناك أيضًا المزيد من بيانات الاعتماد للعمل معها. هناك حوالي 15 مليار بيانات اعتماد مسربة متاحة على الإنترنت العام، دون حساب تلك الموجودة في القنوات الخاصة. وهذه القائمة في نمو مستمر — مثل إضافة 244 مليون كلمة مرور جديدة و493 مليون زوج من عناوين البريد الإلكتروني والمواقع إلى قاعدة بيانات Have I Been Pwned الشهر الماضي فقط.
هذا يبدو مخيفًا، ولكن من الصعب على المهاجمين استغلال هذه البيانات. الغالبية العظمى من بيانات الاعتماد هذه قديمة وغير صالحة. وجدت مراجعة حديثة لبيانات الاستخبارات التهديدية أن أقل من 1% من بيانات الاعتماد المسربة كانت قابلة للاستخدام — أي أن 99% منها كانت إيجابيات كاذبة.
ولكن ليست كلها عديمة الفائدة — كما أظهرت هجمات Snowflake، التي نجحت باستخدام بيانات اعتماد تعود إلى عام 2020. لذا، هناك كنوز تنتظر أن يكتشفها المهاجمون.
المهاجمون مجبرون على تحديد الأولويات
الطبيعة الموزعة للتطبيقات والهويات، بالإضافة إلى انخفاض موثوقية بيانات الاعتماد المسربة، تجبر المهاجمين على تحديد الأولويات — على الرغم من وجود بيئة غنية بالأهداف مع مئات التطبيقات التجارية التي تخلق آلاف الهويات المتناثرة لكل منظمة. وذلك لأن:
- كتابة وتشغيل نصوص برمجية مخصصة لكل تطبيق (هناك أكثر من 40 ألف تطبيق SaaS على الإنترنت) ليس واقعيًا. حتى لو ركزت على أفضل 100 أو 1000 تطبيق، سيكون ذلك مهمة ضخمة وتتطلب صيانة مستمرة.
- حتى مع استخدام الروبوتات لتوزيع الهجوم وتجنب حظر IP، يمكن أن تعيق الضوابط مثل الحد من المعدل (Rate Limiting) وCAPTCHA وإغلاق الحسابات الهجمات الجماعية ضد تطبيق واحد.
لذلك، يميل المهاجمون إلى استهداف عدد أقل من التطبيقات، والبحث عن تطابق مباشر لبيانات الاعتماد المسربة.
فرصة ضائعة؟
كما أوضحنا، الوضع الحالي لهجمات حشو بيانات الاعتماد سيء بالفعل على الرغم من هذه القيود. ولكن الأمور يمكن أن تتفاقم بشكل كبير.
إعادة استخدام كلمات المرور تعني أن حسابًا واحدًا مخترقًا يمكن أن يتحول إلى العديد
إذا تمكن المهاجمون من زيادة نطاق هجماتهم لاستهداف عدد أكبر من التطبيقات، يمكنهم الاستفادة من إعادة استخدام كلمات المرور الشائعة. وفقًا لتحقيق حديث:
- 1 من كل 3 موظفين يعيد استخدام كلمات المرور.
- 9% من الهويات لديها كلمة مرور معاد استخدامها وبدون مصادقة متعددة العوامل (MFA).
- 10% من حسابات IdP (المستخدمة للدخول الموحد SSO) لديها كلمة مرور غير فريدة.
هذا يعني أنه إذا كانت بيانات الاعتماد المسربة صالحة، فهناك فرصة جيدة لاستخدامها للوصول إلى أكثر من حساب واحد على أكثر من تطبيق.
توسيع نطاق هجمات بيانات الاعتماد باستخدام وكلاء استخدام الحاسوب
حتى الآن، كان تأثير الذكاء الاصطناعي على الهجمات القائمة على الهوية محدودًا باستخدام نماذج اللغة الكبيرة (LLMs) لإنشاء رسائل التصيد الاحتيالي، وتطوير البرامج الضارة بمساعدة الذكاء الاصطناعي، وروبوتات وسائل التواصل الاجتماعي — ولكن مع إطلاق OpenAI Operator، وهو نوع جديد من “وكلاء استخدام الحاسوب”، قد يتغير هذا الوضع.
Operator مدرب على مجموعة بيانات متخصصة ويعمل في متصفح معزول، مما يسمح له بأداء مهام الويب الشائعة مثل البشر — برؤية صفحات الويب والتفاعل معها كما يفعل الإنسان.
على عكس الحلول الأوتوماتيكية الأخرى، لا يتطلب Operator أي تنفيذ مخصص أو برمجة للتفاعل مع المواقع الجديدة، مما يجعله خيارًا أكثر قابلية للتوسع للمهاجمين الذين يهدفون إلى استهداف عدد كبير من المواقع والتطبيقات.
عرض توضيحي: استخدام Operator لإجراء هجمات حشو بيانات الاعتماد على نطاق واسع
اختبر باحثو Push Security حالات الاستخدام الضارة لـ Operator، باستخدامه لتحديد الشركات التي لديها حسابات على قائمة من التطبيقات ومحاولة تسجيل الدخول إلى هذه الحسابات باستخدام بيانات اعتماد مسربة.
ملخص التأثير
كانت النتائج مذهلة. أظهر Operator قدرته على استهداف قائمة من التطبيقات ببيانات اعتماد مسربة وأداء إجراءات داخل التطبيقات. تخيل هذا مضروبًا في 10، 100، 10,000… هذه ليست مهام معقدة، ولكن قيمة Operator تكمن في التعامل مع النطاق وليس التعقيد.
الأفكار النهائية
لا تزال تقنية وكلاء استخدام الحاسوب في بداياتها، ولكن هناك مؤشرات واضحة على أن التحدي الأمني الحالي يمكن أن يزداد سوءًا مع هذا النوع من الأتمتة المدعومة بالذكاء الاصطناعي. بينما كانت القدرة على استهداف مجموعة واسعة من التطبيقات خارج نطاق الأتمتة التقليدية، فإنها ستكون قريبًا في متناول حتى المهاجمين ذوي المهارات المنخفضة.
باختصار، يمكن أن تصبح هجمات حشو بيانات الاعتماد أكثر سهولة وفعالية مع هذه التقنية الجديدة، مما يجعل من الضروري أن تعمل المنظمات على تعزيز دفاعاتها الأمنية وحماية هوياتها قبل أن يتمكن المهاجمون من استغلالها.
