الإنتربول يحذر من رسائل إلكترونية تستهدف متخذي القرارات المالية في الشركات
يحذر الإنتربول السعودي بناءً على ما ورد من المنظمة الدولية للإنتربول من تداول رسائل الكترونية تجارية بهدف الاحتيال تستهدف القطاعات الصحية والخدمات المهنية والتعليم العالي والشركات الخاصة.
تغير الاسلوب الاجرامي في عملية إختراق الايميلات، فبعد أن كانت تستهدف ملايين الأشخاص بشكل عام أصبحت الان محددة الأهداف وتوجه لمئات الأشخاص المسئولين عن اتخاذ القرارات المالية بالشركات، وتكون هذه الرسائل على شكل روابط لبرمجية معينة مستندة إلى السحابة (Cloud) وفور اختراقه لحساب الضحية يطلع على البريد والرسائل الخاصة بالمجني عليه.
وحذرت المنظمة أن تركيز المعتدون على برنامج "أوفيس 365" من مايكروسوفت وذلك نظراً لأن العديد من إعدادات الأمان التي يوفرها ذلك المنتج غير مفعلة، ويتم ذلك من خلال قيام المخترق بإرسال رسائل الكترونية تحتوي على روابط تقود إلى صفحات ويب تتضمن برمجية متصلة بالسحابة -Cloud- تطلب عند النقر عليها من قبل المستخدمين تسجيل بيانات دخولهم، لتقوم بارسالها إلى المعتدي ليستخدمها في الدخول إلى البريد الإلكتروني للضحية دون الحاجة لنصب برمجيات اختراق.
كيفية معالجة المشكلة:
1- منع المخترق من الدخول إلى الحساب:
أ- يفتح مركز إدارة Office 365 .
ب- يُختار اسم الموظف المراد حظره، ثم ينقر على الخيار "تحرير" (Edit) بمحاذاة حالة تسجيل الدخول (Sign -in Status) في جزء المستخدم.
ت- وفي جزء حالة تسجيل الدخول، ينقر على تسجيل دخول المستخدمين المحظورين (Sign-in blocked) ثم حفظ (Save).
ث- وفي مركز إدارة Office 365 إلى أسفل يسار جزء التنقل، تفتح وتوسع مراكز الإدارة (Admin Centers) وينقر على تبادل (Exchange).
ج- وفي مركز إدارة Exchange (Exchange Admin Center)، ينقر على المستلمون (Recipients) ثم صناديق البريد (Mailboxes).
ح- يتم اختيار المستخدم، وفي صفحة خصائص المستخدم تحت الأجهزة المحمولة (Mobile Devices) ينقر على تعطيل Exchange ActiveSync (Disable Exchange ActiveSync) وتعطيل OWA (Disable OWA) للأجهزة، وتختار الإجابة نعم لكل منهما.
خ- وتحت اتصال البريد الإلكتروني (Email Connectivity) ينقر على تعطيل (Disable) والإجابة نعم.
2- إزالة الحساب المخترق من جميع مجموعات المسؤولين:
أ- يسجل الدخول في مركز إدارة (Office 365) عبر حساب مسؤول عام ثم يفتح المستخدمون النشطاء (Active Users).
ب- بعد العثور على الحساب الذي يشتبه في اختراقه، يتم التحقق يدوياً من وجود أي أدوار إدارية مرتبطة بالحساب.
ت- يفتح مركز التوافق والأمان (Security &Compliance Center).
ث- ينقر على الأذونات (Permissions).
ج- تستعرض مجموعات الدور يدوياً للتحقق مما اذا كان الحساب الذي يشتبه في اختراقه عضواً في أي منها، وإذا كان الأمر كذلك:
• ينقر على مجموعة الدور ثم على تحرير مجموعة الدور (Edit Role Group).
• ينقر على اختيار الأعضاء (Chose Members) و تحرير لإزالة المستخدم من مجموعة الدور.
ح- يفتح مركز إدارة Exchange (Exchange Admin Center).
خ- ينقر على الأذونات.
د- تستعرض مجموعات الدور يدوياً للتحقق مما إذا كان الحساب الذي يشتبه في اختراقه عضواً في أي منها، وإذا كان الأمر كذلك:
• ينقر على مجموعة الدور ثم على تحرير.
• ينقر على قسم الأعضاء (Members) لإزالة المستخدم من مجموعة الدور.
3- إعادة تعيين كلمة المرور:
أ- يُطلب من المسؤول إعادة تعيين كلمة المرور الخاصة بحساب المستخدم المخترق.
ب- يرجى التحقق من أن المسؤول لن يحل رسالة إلكترونية بكلمة المرور الجديدة إلى حساب المستخدم.
ت- وفي هذه المرحلة، يوصى بشدة باستخدام المصادقة المتعددة العوامل.