🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
ملخص تنفيذي
تهديد
- تقوم الجهات الفاعلة في مجال التهديد بتطوير برامج آلية تستخدم OTP لتوليد نقاط النهاية لإرسال أكوام من الرسائل المهمة.
- هذه البرامج تسيء استخدام واجهات برمجة تطبيقات OTP المتاحة للجمهور ولديها القدرة على التسبب في انقطاع مستهدف لخدمات الاتصالات.
- في حالة سيناريو الاستيلاء على الحساب، يمكن لممثل التهديد إرسال رسائل غير مرغوب فيها إلى مثل هذه الرسائل القصيرة التي قد تؤدي إلى «إجهاد MFA» أو هجمات «الإرهاق».
تأثير
- يمكن أن تؤدي إساءة الاستخدام هذه إلى تكاليف أعلى من المتوقع للحفاظ على واجهة برمجة التطبيقات المستندة إلى OTP.
- يمكن للعملاء المحتملين تطوير مشاعر سلبية ضد الشركة.
- يمكن أن تتأثر العمليات سلبًا بسبب عدم إمكانية الوصول إلى خدمات الاتصالات.
تخفيف
- قم بتطبيق الخدمة القائمة على captcha للحد من الاستخدام القائم على الروبوت.
- قم بتطبيق تحديد المعدل عند نقطة النهاية.
- راقب مستودعات github بحثًا عن إشارات إلى واجهة برمجة التطبيقات الخاصة بك في الكود المصدري لهذه الأدوات.
ملاحظة: قد يتسبب هذا في تعطيل الخدمات على الجهاز المحمول بشكل أساسي مما يؤدي إلى حدوث سيناريو بأن الجهاز يتعرض لهجوم DOS. علاوة على ذلك، في سيناريو أثناء استمرار الهجوم، إذا حاول المستخدم مسح الإشعارات يدويًا، فقد ينقر بطريق الخطأ على مطالبة MFA وبالتالي يمنح حق الوصول للمهاجم. يمكن أيضًا استخدام هذا الهجوم كغطاء لإخفاء محاولات تسجيل الدخول غير الشرعية التي تقوم بها الجهات الفاعلة في التهديد للوصول إلى جهاز المستخدم. هذا يعني أيضًا أنه أثناء الهجوم، قد يفوت المستخدم الإشعارات الهامة.
التحليل والإسناد
- كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت مستودعات github متعددة مع ذكر الشركات الهندية وواجهات برمجة التطبيقات الخاصة بها.
- تسمح واجهات برمجة التطبيقات هذه لأي شخص بإرسال رسائل OTP غير محدودة إلى أي رقم دون أي قيود على المعدل أو حماية CAPTCHA، مما يؤدي إلى إساءة استخدام واجهات برمجة التطبيقات هذه بواسطة الأدوات الآلية.
- يؤدي هذا إلى زيادة تكلفة واجهة برمجة التطبيقات والتداعيات القانونية للعلامة التجارية إلى جانب انخفاض الصورة العامة للعلامة التجارية.
الشركات المتأثرة وواجهات برمجة التطبيقات المكشوفة (حسب المنطقة) -
ملاحظة - تستند هذه الرسوم البيانية إلى واجهات برمجة التطبيقات التي تم العثور عليها وتجميعها من الكود المصدري لأدوات تفجير الرسائل القصيرة المتعددة، والتي تمت أرشفة بعضها الآن. امتنع باحثو Cloudsek عن اختبار واجهات برمجة التطبيقات هذه لحالة الضعف الحالية.
سلسلة الهجوم
جمع أرقام الهواتف المستهدفة: يوفر مستخدم مفجر الرسائل القصيرة رقم الهاتف المستهدف أو قائمة أرقام الهواتف التي يريد إرسال الرسائل إليها. يمكن إدخال هذه المعلومات يدويًا أو استيرادها من ملف.
يعتمد هذا على دوافع ممثل التهديد، بالنسبة للمزحة، سيتم استخدام رقم الصديق فقط، ولكن بالنسبة للهجوم المخصص، يمكن جمع أرقام هواتف ممثلي قسم المبيعات من «البائعين الرئيسيين» من منتديات الويب المظلمة أو حتى من Linkedin أو scribd.
يتم بعد ذلك تمرير هذه الأرقام إلى البرنامج الذي يقدم طلبات متعددة مستمرة في واجهات برمجة التطبيقات المستهدفة ويبدأ الهجوم.
سلسلة الهجوم (تابع)
التشغيل المستمر: ستستمر الأداة في إرسال الرسائل حتى يتم الوصول إلى حد الإعداد المسبق أو حتى يقرر المستخدم إيقاف العملية يدويًا. يمكن أن يؤدي ذلك إلى تدفق الرسائل و/أو المكالمات التي يتم إرسالها إلى رقم الهاتف المستهدف.
التأثير على الهدف: يمكن أن يؤدي التدفق المستمر للرسائل والمكالمات إلى إرباك جهاز الهدف، مما قد يؤدي إلى إبطائه أو تجميده أو حتى تعطله. بالإضافة إلى ذلك، قد يتم تنبيه الهدف باستمرار بالإشعارات، مما يجعل من الصعب استخدام الجهاز لمهام أخرى.
كما هو الحال في اختراق Uber، قد يؤدي هذا أيضًا إلى «إجهاد MFA» أو هجمات «الإرهاق»
أخيرًا، يمكن ملء صندوق الوارد الخاص بالمستلم مما يمنعه من تلقي رسائل جديدة وربما مهمة.
في مثالنا، يمكن إيقاف عملية مبيعات الشركة المستهدفة تمامًا بسبب القصف المستمر للرسائل القصيرة والمكالمات.
التداعيات القانونية - وقال محامي المحكمة العليا في بومباي، ساتيا مولاي، إن قصف الهاتف بالرسائل القصيرة حتى بعد تنشيط خدمة DND ليس مجرد شكل من أشكال المضايقة والإزعاج (القسم 268 من قانون العقوبات الدولي)، ولكنه «فخ وطعم وعمل إجرامي من السرقة والغش والتحريض بطريقة غير شريفة على تسليم الممتلكات بموجب المادتين 378 و420". ( مرجع )
إمكانية الوصول والتمويل لهذه الخدمات -
- يتم استضافة العديد من هذه الأدوات عبر الإنترنت مما يسمح لأي شخص بإطلاق مثل هذه الحملات بسهولة شديدة دون أي تثبيت.
- بالإضافة إلى ذلك، فإن جميع هذه الأدوات مجانية لأن الجزء الأكبر من التكلفة يتم تناوله من خلال واجهات برمجة التطبيقات لإرسال الرسائل القصيرة المملوكة للعلامات التجارية.
- يمكن أن تكلف إحدى رسائل OTP هذه ما يصل إلى 20 بيسا لعلامة تجارية.
- تعمل هذه الأدوات على الإيرادات الناتجة عن عرض الإعلانات على نظامها الأساسي.
التخفيف
البرامج النصية
- https://github.com/bhattsameer/Bombers/tree/master
- https://github.com/TheSpeedX/TBomb
- https://github.com/iMro0t/bomb3r
- https://github.com/ebankoff/Beast_Bomber
- https://github.com/anubhavanonymous/XLR8_BOMBER
- https://github.com/Priyans0830m/DDOS-BOMBER/tree/main
- https://github.com/LimerBoy/Impulse/blob/master/tools/SMS/services.json
المراجع
- #بروتوكول إشارات المرور - ويكيبيديا
- https://indianexpress.com/article/technology/tech-news-technology/sms-bombing-what-is-it-and-how-to-stay-safe-8050074/
- https://www.financialexpress.com/life/technology-cybersecurity-sms-bombing-can-disrupt-the-working-of-your-phone-2612604/#:~:text=Bombarding%20a%20phone,lawyer%20Satya%20Mulay
