وجد باحثون في جامعة آيندهوفن للتكنولوجيا (Technische Universiteit Eindhoven) الهولندية أدلة على سوق سوداء إلكترونية ضخمة ومتطورة للغاية للتجارة في “بصمات الأصابع” عبر الإنترنت تتداول مئات الآلاف من بيانات ملفات تعريف المستخدمين المفصلة.
ويقدم هذا السوق الذي يقع مقره في روسيا أكثر من 260 ألف ملف تعريف مستخدم مفصل للغاية، إلى جانب بيانات المستخدم الأخرى، مثل عناوين البريد الإلكتروني وكلمات المرور.
الأمان على الإنترنت هو لعبة قط وفأر لا تنتهي أبدا، يبتكر الاختصاصيون الأمنيون باستمرار طرقا جديدة لحماية بياناتنا الثمينة، وفي المقابل، يبتكر مجرمو الإنترنت طرقا جديدة وماكرة لتقويض هذه الدفاعات.
تتيح “بصمات الأصابع” الشخصية هذه للمجرمين التحايل والالتفاف على أحدث نظم المصادقة (توثيق واعتماد صحة البيانات)، مما يمنحهم إمكانية الوصول إلى معلومات قيمة عن المستخدمين، مثل تفاصيل بطاقات الائتمان.
ويعتمد الاقتصاد عبر الإنترنت على أسماء المستخدمين وكلمات المرور، للتأكد من أن الشخص الذي يشتري الأشياء أو يحول الأموال عبر الإنترنت هو الشخص نفسه في الحقيقة.
ومع ذلك، فقد أثبتت طريقة المصادقة المحدودة هذه أنها بعيدة كل البعد عن الأمان، حيث يميل الأشخاص إلى إعادة استخدام كلمات المرور الخاصة بهم مرارا وتكرارا عبر العديد من الخدمات والمنصات والمواقع الإلكترونية.
وقد أدى ذلك إلى تجارة غير مشروعة ضخمة ومربحة للغاية في بيانات المصادقة، ووفقا لتقديرات حديثة تم بيع حوالي 1.9 مليار هوية مسروقة من خلال الأسواق السرية في غضون عام.
ونظرا لأنها تضيف خطوة إضافية، فإن العديد من المستخدمين لا يكلفون أنفسهم عناء التسجيل فيها، مما يعني أن أقلية فقط من الناس يستخدمونها.
ولتخفيف حدة هذه المشكلة أصبح نظام المصادقة البديل مشهورا مؤخرا مع خدمات مثل أمازون وفيسبوك وغوغل وباي بال.
ن يكون من المستغرب أن تبتكر البنوك والخدمات الرقمية الأخرى أنظمة مصادقة أكثر تعقيدا، لا تعتمد فقط على شيء يعرفه المستخدمون (كلمة المرور الخاصة بهم)، ولكن على شيء لديهم (على سبيل المثال رمز مميز).
هذه العملية المعروفة باسم “المصادقة متعددة العوامل” تحد بشدة من احتمالية ارتكاب جرائم إلكترونية معلوماتية، ولكن في المقابل فإنها تنطوي على عيوب أيضا.
ويبحث هذا النظام المعروف باسم “المصادقة القائمة على المخاطر” في “بصمات أصابع المستخدم للتحقق من بيانات اعتماد شخص ما”.
ويمكن أن تتضمن هذه المعلومات التقنية الأساسية، مثل نوع المتصفح أو نظام التشغيل، ولكن أيضا الميزات السلوكية، مثل حركة الماوس (الفأرة) والموقع وسرعة ضغط المفاتيح.
وإذا كانت بصمة الإصبع تتوافق مع ما هو متوقع من المستخدم -بناء على سلوك سابق- فإنه يُسمح له بتسجيل الدخول على الفور باستخدام اسم المستخدم وكلمات المرور الخاصة به فقط، وإذا لم يكن الأمر كذلك فمطلوب مصادقة إضافية من خلال رمز مميز.
وبطبيعة الحال وكما هو متوقع توصل مجرمو الإنترنت بسرعة إلى طرق للتحايل على “المصادقة القائمة على المخاطر”، وتطوير مجموعات تصيد تتضمن أيضا بصمات الأصابع، ومع ذلك، فقد وجدوا صعوبة في تحويل هذا إلى عمل تجاري فعال ومربح.
أحد الأسباب هو أن ملفات تعريف المستخدمين هذه تختلف باختلاف الوقت وعبر الخدمات، ويجب جمعها من خلال هجمات تصيد إضافية، لكن الباحثين وجدوا أدلة على أن هذا السوق الكبير والمتطور للغاية يتغلب على هذه القيود.
يقول الباحث في مجموعة الأمان السيبراني في قسم الرياضيات والحاسوب لوكا ألودي لصفحة “نظرة عامة على الأخبار” بموقع الجامعة على الإنترنت إن “ما يميز موقع الويب هذا ليس فقط نطاقه، ولكن أيضا حقيقة أن جميع الملفات الشخصية يتم تحديثها باستمرار، مما يعني أنها تحتفظ بقيمتها”.
ويستطرد “إضافة إلى ذلك، يمكن للعملاء البحث في قاعدة البيانات، بحيث يختارون بدقة مستخدم الإنترنت الذي يرغبون في استهدافه، مما يتيح هجمات تصيد سريع خطيرة للغاية، ويمكنهم أيضا تحميل برنامج يقوم تلقائيا بتحميل ملفات تعريف المستخدمين لزبائن المواقع الإلكترونية المستهدفة”.
وللتأكيد على الطبيعة المنهجية للموقع الإلكتروني، صاغ ألودي وزميله ميشيل كامبوباسو -وهو طالب دكتوراه ومشارك في البحث- مصطلح “انتحال الشخصية كخدمة”، مرددا صدى مصطلحات خدمات الحوسبة السحابية المعروفة مثل “البرمجيات كخدمة”، و”البنية التحتية كخدمة”.
ويقول كامبوباسو لموقع الجامعة “على حد علمنا، هذا هو أكبر سوق إجرامي والأكثر تطورا لتقديم هذه الخدمات بشكل منهجي”.
لم يكن البحث في السوق أمرا سهلا، ولكي يتسنى للباحثين الاطلاع على ملفات تعريف المستخدمين المتاحة كان على الباحثين الحصول على دعوة خاصة يتقاسمها المستخدمون الحاليون.
كان جمع البيانات أمرا صعبا أيضا، حيث يقوم مشغلو المنصة بمراقبة الحسابات “المارقة” بنشاط، كما قرر الباحثون الحفاظ على سرية الاسم الحقيقي للموقع، لتقليل مخاطر الإجراءات الانتقامية من جانب مشغلي السوق.
وذكر الباحثون في دراستهم بعض الأمثلة على كيفية قيام المجرمين بـ”تسليح” هذه الملفات الشخصية، والتي وجدوها على قناة سرية يستخدمها عملاء المنصة على تطبيق تليغرام.
وفي إحدى الهجمات المبلغ عنها يصف أحد المهاجمين وضع مرشحات لصناديق البريد الإلكتروني الخاصة بالضحية، بهدف إخفاء إشعارات “أمازون” المتعلقة بعمليات الشراء بهدف إخفاء المهاجم باستخدام حساب أمازون الخاص بالضحية.
ويتراوح سعر “الهوية الافتراضية” للمستخدم في السوق بين دولار وحوالي 100، ويبدو أن الوصول إلى ملفات التشفير ومنصات الإنترنت هو الأكثر قيمة.
ويقول ألودي إن “مجرد وجود ملف تعريف واحد على الأقل مرتبط بالتشفير يضاعف تقريبا متوسط قيمة الملف الشخصي”.
وثمة عامل مهم آخر يرفع السعر وهو ثروة الدولة التي يوجد فيها المستخدم.
ووفقا لما ذكره كامبوباسو “هذا أمر منطقي، فالمهاجمون يتطلعون إلى انتحال الشخصية وتحقيق الدخل من ملفات تعريف المستخدمين التي من المحتمل أن تحقق مكاسب مالية أكبر، وهي موجودة بشكل أساسي في البلدان المتقدمة”.
كما أن ملفات تعريف المستخدمين تحظى بتقدير كبير والتي تتيح الوصول إلى أكثر من خدمة وملفات تعريف ذات بصمات أصابع “حقيقية”، على عكس بصمات الأصابع “المصنوعة” بواسطة المنصة.