تتخطى تقنية الهندسة الاجتماعية الجديدة دفاعات البريد الإلكتروني التي عززتها الأنظمة الصحية لسنوات، وتقوم بذلك عن طريق زرع روابط ضارة مباشرة في تقويمات عمل الموظفين. في 11 يونيو نشرة التهديد, الصحة-ISAC حددت الطريقة على أنها CalPhishing أو التصيد الاحتيالي للتقويم. بالإضافة إلى ذلك، حذرت النشرة من أنها تشكل خطرًا مباشرًا على المعلومات الصحية المحمية في جميع أنحاء الصناعة.
تسيء هذه التقنية استخدام ميزات المعالجة التلقائية المضمنة في تطبيقات تقويم الأعمال مثل Microsoft Outlook وتقويم Google. على وجه التحديد، يقوم المهاجمون بتضمين عناوين URL للتصيد الاحتيالي وكود تجميع بيانات الاعتماد في ملفات iCalendar (.ics)، مما يسمح للمحتوى الضار بتجاوز بوابات أمان البريد الإلكتروني التي تعتمد عليها معظم المؤسسات. ونتيجة لذلك، فإن التهديد الذي يتم رصده عادةً على الحافة يصل بدلاً من ذلك كطلب اجتماع روتيني.
وقالت النشرة إن ما يجعل هذا النهج فعالاً هو الثقة التي يضعها الموظفون في تخطيطهم الخاص. تبدو التقاويم وكأنها أدوات داخلية معتمدة، وفي بيئة المستشفى السريعة والذكية، نادرًا ما تثير دعوة الاجتماع نفس الانتقادات التي تثيرها رسالة بريد إلكتروني غير متوقعة. بمعنى آخر، يستخدم CalPhishing هذا المنعكس بالضبط.
كيف تتكشف سلسلة الهجوم
يبدأ التسلسل بحركة مألوفة. يرسل المهاجم بريدًا إلكترونيًا يحتوي على ملف .ics مرفق أو دعوة تقويم مباشرة، ويقتصر نص الرسالة عمدًا على تجاوز مرشحات البريد العشوائي والتصيد الاحتيالي القياسية. ومن هنا، ينحرف الهجوم عن برامج البريد الإلكتروني التقليدية بطريقة تمنحه قوة بقاء حقيقية.
يقوم العديد من عملاء البريد الإلكتروني للأعمال بمعالجة ملفات .ics تلقائيًا. تضع هذه الخطوة اجتماعًا أوليًا في تقويم المستلم قبل أن يفتح الشخص رسالة البريد الإلكتروني الخاصة بالتسليم. الحدث نفسه عبارة عن عملية جذب، وغالبًا ما يتم تلبيسه بلغة عاجلة، مثل الإحاطة الأمنية الإلزامية أو توقيع الفاتورة المطلوبة أو تنبيه مسؤول تكنولوجيا المعلومات. بالنسبة للطبيب الذي يمر بجدول أعمال ممتلئ، تبدو المذكرة وكأنها التزام إضافي في يوم حافل.
سيؤدي النقر على الرابط إلى نقل المستخدم إلى صفحة تسجيل دخول مزيفة. تعتمد الحملات الأخيرة على تقنية تسمى ConsentFix، وهي شكل من أشكال التصيد الاحتيالي لرمز الجهاز الذي يلتقط الرموز المميزة للجلسة. تزيد هذه الإمكانية من التهديد لأنه يمكن للمهاجمين استخدام الرموز المميزة المسروقة لتجاوز المصادقة متعددة العوامل بشكل كامل والحصول على وصول مستمر بدون كلمة مرور إلى البيئات السحابية الخاصة بالشركة. بالنسبة للفرق التي استثمرت بكثافة في أسلوب MFA كمساندة، فإن هذا الأمر مثير للقلق.
التهديد الذي ينجو من البريد الوارد
وفقًا لـ H-ISAC، فإن أخطر ميزة في CalPhishing هي عمرها الافتراضي الطويل. حتى إذا قام المستخدم بحذف البريد الإلكتروني الأصلي أو وضع علامة عليه كبريد غير هام، فسيظل حدث التقويم نشطًا. تستمر تذكيرات سطح المكتب والجوال في مطالبة المستلم، وسيؤدي كل إشعار إلى إعادة فتح النافذة إذا تم النقر عليه عن طريق الخطأ. يتم تحييد التهديد فقط إذا تم حذف الحدث نهائيًا. مع مسح البريد الوارد القياسي، يظل الخطر الحقيقي دون تغيير في الجدول الزمني.
وهذا المثابرة يغير شكل التعافي الفعال. لم يعد تنظيف البريد الإلكتروني الخاص بالتسليم الضار ينهي الحادث. وبدلاً من ذلك، ينجو حدث التقويم من عملية التطهير ويستمر في العمل نيابةً عن المهاجم. إن إجراءات الاستجابة للحوادث التي تعتمد فقط على البريد الإلكتروني ستفتقد هذا.
سد فجوة جدول الأعمال
حددت Health-ISAC آليات الدفاع المختلفة التي يمكن لأنظمة الرعاية الصحية استخدامها لإضعاف التكنولوجيا. الأول هو تعطيل المعالجة التلقائية لدعوات التقويم الخارجية في إعدادات البريد الإلكتروني للشركة. يفرض هذا الإعداد على المستخدمين مراجعة مرفقات .ics الخارجية وقبولها يدويًا قبل أن يصل أي شيء إلى جدولهم الزمني. بالإضافة إلى ذلك، يجب على فرق الأمان التعامل مع ملفات .ics كمحتوى نشط وفحص مرفقات التقويم عند البوابة بحثًا عن عناوين URL المضمنة والمجالات المشبوهة والبيانات الضارة.
تستحق عناصر التحكم في الوصول أيضًا نظرة ثانية. تعالج سياسات الوصول المشروط التي تقيد تدفقات مصادقة مفتاح الجهاز بشكل مباشر الآلية التي تستغلها هذه الحملات لسرقة الرموز المميزة للجلسة. وفي الوقت نفسه، تتطلب عمليات سير عمل الاسترداد خطوات واضحة للحذف الثابت حتى يتمكن المستجيبون من حذف إدخالات التقويم الضارة ولا يتوقفون عن تنظيف رسائل البريد الإلكتروني الخاصة بالتسليم.
خذها بعيدا
- أصبحت دعوات التقويم وسيلة لسرقة بيانات الاعتماد التي تتخطى بوابات أمان البريد الإلكتروني التقليدية.
- يمكن للمعالجة التلقائية لملفات .ics أن تضع اجتماعًا ضارًا في التقويم قبل فتح البريد الإلكتروني للتسليم.
- يقوم التصيد الاحتيالي لرمز جهاز ConsentFix بسرقة الرموز المميزة للجلسة، مما يسمح للمهاجمين بتجاوز MFA للوصول المستمر إلى السحابة.
- حذف البريد الإلكتروني لا يوقف الهجوم؛ يجب حذف حدث التقويم نهائيًا لتحييده.
- قم بتعطيل المعالجة التلقائية للدعوات الخارجية واطلب مراجعة يدوية لمرفقات ics.
- افحص ملفات التقويم باعتبارها محتوى نشطًا وقم بتشديد الوصول المشروط إلى تدفقات رمز الجهاز.
- قم ببناء خطوات إزالة صارمة في الاستجابة للحوادث وتدريب الموظفين على مراجعة الدعوات غير المتوقعة.
التدريب التوعوي يكمل التوجيه. وعلى وجه الخصوص، حثت H-ISAC المنظمات على تثقيف الموظفين الطبيين والإداريين بشكل خاص حول التصيد الاحتيالي للتقويم. يجب أن يتعلم الموظفون كيفية فحص دعوات الاجتماعات غير المتوقعة، والتحقق من المرسلين الخارجيين، وحذف الأحداث المشبوهة مباشرة من التقويمات الخاصة بهم.
