كيف يهرب مجرمو Ransomware من العقاب؟

18/07/2021 0
د. فهد الحويماني

بدأت تزداد مرة أخرى عمليات الابتزاز التي يقوم بها مجرمو برامج الفدية ويقع فيها ضحايا لا يجدون حلا غير تسليم بعض الأموال لاستعادة ما تم فقدانه من أصول رقمية. وهذا النوع من الجرائم معروف منذ بداية ظهور الإنترنت وانتشار الفيروسات الحاسوبية وتنامي نشاط من يعرفون بالمخترقين أو "الهاكرز"، إلا أن هذا النشاط تزايد خلال العامين الماضيين، حيث بلغ عدد الجهات التي وقعت ضحايا لبرامج الفدية عام 2020 نحو 2400 جهة في الولايات المتحدة فقط.

الأسئلة التي سنحاول الإجابة عنها هنا هي، كيف يمكن لهؤلاء المجرمين الوصول إلى ضحاياهم؟ وكيف يمكنهم الحصول على الأموال بلا عقاب؟

بلغت كمية الأموال التي تم بالفعل تحويلها إلى مجرمي برامج الفدية وتم الإفصاح عنها من قبل الضحايا عام 2020 نحو 1.4 مليار ريال، وهذا نحو 3.3 أضعاف قيمتها عام 2019، بحسب شركة Chainalysis المتخصصة بتحليل سلاسل الكتل التي تعمل عليها العملات المشفرة. هذه فقط الأرقام الرسمية المعلنة ولا تشمل طرق الدفع الأخرى غير العملات المشفرة، ولا تشمل المدفوعات التي تتم بسرية، حفاظا على سمعة الجهة أو الفرد. وبحسب شركة الاستجابة للاختراقات Coveware بلغ متوسط الفدية المدفوعة في الربع الأول 2021 نحو 800 ألف ريال، أعلى بنسبة 43 في المائة عن الربع السابق.

رئيس شركة أنابيب "كولونيال" قرر دفع مبلغ 4.4 مليون دولار لاسترجاع أنظمة التحكم التي تمت السيطرة عليها من قبل المجرمين، والتي بسببها توقف تدفق الوقود والغاز لعدة ولايات في الجنوب الشرقي من الولايات المتحدة. بحسب تصريحه، لم يكن أمامهم أي خيار إلا دفع الفدية، والسبب أن المبلغ المطلوب يعد قليلا نسبيا، مقابل الخسائر التي قد تتكبدها الشركة وما قد ينتج من امتعاض من العملاء. وعلى الرغم من ذلك، لا أحد يوصي بدفع الأموال لهؤلاء المجرمين، لأن ذلك يؤكد جدوى تلك العمليات الإجرامية وسهولة القيام بها.

معظم الجهات المستهدفة هي منشآت حيوية، مثل شركات نقل الوقود والكهرباء والماء، إضافة إلى الجهات التعليمية والمؤسسات المالية، وبشكل خاص يتم استهداف المنشآت الصحية، كالمستشفيات، وذلك لأهمية عامل الوقت لدى تلك الجهات، ونتيجة الاعتقاد بوجود ضعف في الحماية والوعي بأمن المعلومات لدى تلك الجهات.

كيف يصل هؤلاء المجرمون إلى ضحاياهم؟

طريقة الوصول هي ذاتها التي كانت تتم في السابق، وهي غالبا عن طريق إرسال رابط إلكتروني إلى الشخص عن طريق البريد الإلكتروني أو أي وسيلة اتصال أخرى. وعندما يقوم الشخص بالضغط على الرابط تظهر له عادة رسالة من نظام التشغيل تسأل هل يوافق على تنفيذ العملية، فإن وافق فسيبدأ الفيروس بعمله. النقطة المهمة هنا أنه في معظم الحالات نجاح الفيروس يتم بموافقة الضحية، لذا فالدرس الذي يعرفه الكثيرون هو عدم الموافقة على تركيب أي برنامج دون معرفة أكيدة بطبيعة البرنامج والجهة المصنعة له.

ماذا يحدث عندما يوافق الضحية على تركيب البرنامج؟

طرق الابتزاز تنوعت من مجرد التخويف والتهديد إلى القيام فعليا بإحداث أضرار لا يمكن معالجتها إلا من خلال المجرم نفسه، وهذه تتم من خلال تشفير محتويات الجهاز. يقوم البرنامج الخبيث باستخدام مفتاح تشفير رقمي لتشفير الملفات المهمة في جهاز الضحية، والتي من السهل معرفتها حسب نوع الملف، وذلك لتجنب الحاجة إلى تشفير جميع الملفات، الأمر الذي يستغرق وقتا طويلا. بعد التشفير تظهر رسالة للضحية تخبره بما حصل وتطلب منه التواصل عبر البريد الإلكتروني لمعرفة كيفية الحصول على مفتاح فك التشفير، على أن يتم ذلك خلال يوم أو يومين، وذلك بهدف عرقلة الجهات الأمنية في تعقب آثار الجريمة، وكذلك لمنع الضحية من التواصل مع أي جهة متخصصة لمحاولة حل المشكلة.

ألا توجد نسخ احتياطية لدى الضحية تغني عن دفع الفدية؟

نعم، الطريقة الصحيحة أن يكون هناك نسخ احتياطية للبيانات، بحيث يتم تصفير الجهاز وإعادة تركيب برامج التشغيل والنسخ الاحتياطية، إلا أن المشكلة أن بعض الجهات لا تمارس طريقة النسخ الصحيحة التي تضمن وجود نسخ مطابقة في جميع الأوقات ومهيأة بطريقة تضمن عدم انتشار الفيروس إليها، وهذه طرق متقدمة قد لا تمارس من قبل بعض الشركات ولا حتى على مستوى الأفراد.

كيف يتم الدفع للمجرمين؟

في السابق كانت عملية الدفع تعتمد على حسابات بنكية في دول مشبوهة أو من خلال بعض شركات الاتصالات التي تقدم خدمات مكالمات ورسائل دعاية عالية التعرفة. مثلا كانت أحد الطرق الشهيرة هي أن يقوم الضحية بالاتصال برقم هاتف تكلفة الدقيقة الخاصة به تتجاوز 50 دولارا، أو تكلفة الرسالة النصية عشرة دولارات، وهذه خدمات تقدم لأغراض تجارية من قبل بعض شركات الاتصالات.

هناك كذلك طرق دفع من خلال منصات الدفع الرقمية التقليدية، مثل "باي بال"، التي تسمح بإنشاء حسابات غير مرتبطة بحسابات بنكية، حيث يمكن التحويل إليها بسهولة من أي حساب آخر داخل المنصة. وهناك طرق أخرى شبيهة تعتمد على كوبونات أو حسابات افتراضية أخرى.

العملات المشفرة فتحت المجال للتحويلات المالية بلا هوية

مع ظهور العملات المشفرة وانتشارها وقبولها، أصبحت هي الطريقة المفضلة لمجرمي برامج الفدية، والسبب يعود إلى إمكانية جعل العملات المشفرة غير مرتبطة بأي هوية أو حسابات بنكية وسهولة تحويلها إلى نقود تقليدية. الذي يحصل غالبا في العملات المشفرة أن يتم تداولها من خلال محافظ رقمية مرتبطة ببعض المعلومات عن العميل، وهذا مطلب قانوني الآن لدى جميع المنصات، إلا أن المجرمين غالبا لا يتعاملون بهذه المنصات، حيث يوجد طرق أخرى لإجراء التحويلات خارج المنصات.

حتى من خلال المنصات المعروفة لا تزال عملية تحديد الهوية الحقيقية للعميل ليست يسيرة، والسبب أن هناك ثغرات كثيرة يمكن استغلالها ومن الصعب السيطرة عليها.

ألا يمكن تعقب آثار العمليات التي تتم بوساطة العملات المشفرة؟

هنا نحتاج التفريق بين أمرين: (1) تداول العملات داخل منظومة العملة المشفرة، و(2) القيام بتحويل العملة المشفرة إلى نقود تقليدية. لإجراء تحويل العملات المشفرة من محفظة إلى أخرى، الذي يتم هو قيام الشخص المرسل، الضحية في هذه الحالة، بتحديد مفتاح التشفير الخاص بالمجرم والتوقيع عليه وعلى عملية التحويل باستخدام مفتاحه الخاص، وذلك بمنزلة موافقته على العملية.

وبالنسبة إلى مفتاح التشفير الخاص بالمجرم، وهو ما يمكن اعتباره رقم حساب المجرم، فهو رقم متغير، وذلك نتيجة سهولة فتح أي عدد من المحافظ الإلكترونية، كون المطلوب فقط الاحتفاظ بالمفتاح السري كدليل على الملكية. إلا أنه بسبب كون منظومة العملة المشفرة مفتوحة وشفافة، فبالإمكان تتبع جميع العمليات المرتبطة برقم المحفظة، ولكن لا تزال هوية صاحبها غير معروفة. لذا، تقوم السلطات الأمنية بدراسة العمليات في سلاسل الكتل لمحاولة الوصول إلى هوية صاحبها، كما حدث بنجاح في الدنمارك أخيرا في حالة شركة خطوط الأنابيب، حيث تم إعلان استرداد جزء كبير من المبلغ المدفوع، ولم يذكر كيف تم ذلك.

وعلى الرغم من صعوبة عمليات البحث والتحري، هناك من يؤكد أن منظومة العملات المشفرة تسهل عمل الجهات الأمنية، على عكس ما يعتقد البعض، والسبب يعود إلى شفافية العمليات، كون سلاسل الكتل متاحة للاطلاع، وبسهولة يمكن مراجعة جميع العمليات التي تمت منذ إطلاق العملة. قارن ذلك بصعوبة تعقب العمليات النقدية التي تتم بالكاش!

 

نقلا عن الاقتصادية