لصٌّ في وعاء الكوكيز: بحث جديد يكشف عن مخاطر ملفّات تعريف الارتباط على مواقع الويب

نظرةٌ خاطفة على ملفّات تعريف الارتباط على الإنترنت

من المؤكّد أنّك رأيتَ النوافذ المنبثقة من قبل. إنّها موجودةٌ تقريبًا في كلّ موقع إلكتروني تزوره. لقد أصبحت ملفّات تعريف الارتباط (كوكيز) جزءًا أساسيًا من روتين تصفّحنا اليومي للفضاء الرّقمي؛ لدرجة أنّنا صرنا لا نتردّد في الضغط على خيار "قبول الكل" مباشرةً ومن دون تفكير.

ملفّات تعريف الارتباط (الكوكيز) هي ملفّات نصّية صغيرة تُخزَّن على جهازك بواسطة المواقع الإلكترونية التي تزورها. تحتوي هذه الملفّات على معلوماتٍ دقيقةٍ حول نشاط تصفّحك وتفضيلاتك، كما تساعد المواقع الإلكترونية على تذكّر التفاصيل بين جلسة تصفّحٍ وأخرى. تُسهّل ملفّات تعريف الارتباط تجربة التصفّح وتُخصّصها بشكل أفضل. على سبيل المثال، يُمكنها إبقاؤك متّصلًا بحسابك (إذا لم تُسجّل خروجك منه يدويًا) أو تذكّر محتويات سلّة التسوق حتّى لو غادرت الموقع وعُدت إليه لاحقًا. ولكن، ما لا تعلمه بخصوص هذه الملفّات أنّه بإمكانها أيضًا تتبّع نشاطك لأغراض إعلانية، وهو ما يثير المخاوف لدى عددٍ من مستخدمي الإنترنت بشأن خصوصيتهم.

على غرار الكوكيز التي تُصنَع في المخابز، تأتي ملفّات تعريف الارتباط بأنواع متعدّدة كذلك:

• ملفّات تعريف الارتباط الأصلية يتمّ إنشاؤها وتخزينها بواسطة الموقع الإلكتروني الذي تزوره حاليًا. تُستخدم هذه الملفّات لتذكّر بيانات تسجيل الدّخول وتفضيلات المستخدم والإعدادات على ذلك الموقع. على سبيل المثال، عند تسجيل دخولك إلى موقعٍ ما، قد تقوم ملفّات تعريف الارتباط الأصلية بتخزين اسم المستخدم الخاصّ بك حتّى لا تضطر إلى إعادة إدخاله في زيارتك القادمة. عادةً ما تُعتبر ملفّات تعريف الارتباط الأصلية أقل تطفلًا، ولكنّها قد تُشكّل مخاطر جسيمة، لا سيّما عند تخزينها لبياناتك الحسّاسة: كمُعرّفات جلسات التصفّح مثلًا أو بيانات تسجيل الدّخول. إذ وفي حال وقوعها في أيدي مجرمي الإنترنت، سيكون بوسعهم الدخول إلى حساباتك الشخصية أو حتى شبكات المؤسّسات.
• ملفّات تعريف ارتباط الطرف الثالث يتم تخزينها على جهازك بواسطة موقع ويب آخر، وليس الموقع الذي تزوره. على سبيل المثال، قد يعمد المُعلنون أو مُقدّمو التحليلات إلى إعداد هذه الملفّات لأغراض تتعلّق بالإعلانات المُوجّهة ومتابعة سلوك زوّار الموقع. تقوم ملفّات تعريف ارتباط الطرف الثالث بتعقّب نشاطك على مواقع ويب مُختلفة، كالرّوابط التي تضغط عليها والمنتجات التي تبحث عنها.
• ملفّات تعريف الارتباط الخارقة (سوبر-كوكيز) هي آليات تتبّعٍ يصعب اكتشافها وإزالتها. بخلاف ملفّات تعريف الارتباط الاعتيادية التي تُخزَّن على متصفّحك ويمكن مسحها بسهولة، تختبئ هذه الملفّات في أماكن خفية، كفلاش التخزين المحلّي مثلًا أو مساحة التخزين المحلّي HTML5، كما يمكنها أيضًا استخدام تقنياتٍ أخرى على شاكلة ETags أو HSTS لمراقبتك عن كثب. ليس هذا كلّ شيء، فبعض ملفّات تعريف الارتباط الخارقة تُضاف من قِبل مزوّدي خدمة الإنترنت، الذين يدسّون مُعرِّفات خاصّة في حركة مرور الإنترنت الخاصّة بك قصد تتبّعك في كل موقع تزوره. ولأنّ تخزينها يتمّ في أماكن غير معتادة، أو يجري إضافتها من خلال التلاعب بطبقة الشّبكة، فقد تظهر ملفّات تعريف الارتباط الخارقة مرّةً أخرى حتّى بعد مسح ملفّات تعريف الارتباط على متصفّح الإنترنت، وهو ما يجعلها تهديدًا أمنيًا بالغ الخطورة.
• ملفّات تعريف الارتباط "الزومبي" تدبّ فيها الحياة مجدّدًا بعد موتها. إذ غالبًا ما يُعاد إنشاؤها تلقائيًا باستخدام نسخ احتياطية مخزّنة خارج مساحة تخزين ملفّات تعريف الارتباط العادية، ممّا يجعل إزالة ملفّات تعريف الارتباط الزومبي شبه مستحيلة، بل وتشكّل أيضًا تهديدًا صريحًا للخصوصية.

يكشف البحث عن الجانب المُظلم لملفّات تعريف الارتباط على مواقع الويب

معظم ملفّات تعريف الارتباط غير ضارّة. ولكن، إذا وقعت في الأيدي الخطأ، حتى أصغر الفتات منها قد يكشف عن أثرٍ رقمي كامل. لذا، فإنّ قبول ملفّات تعريف الارتباط على مواقع الويب دونما سابق معرفةٍ أو وعي بوظيفتها قد يكون محفوفًا بالمخاطر. تكشف لنا آخر أبحاثنا مدى خطورتها بشكلٍ واضح. إذ ومتابعةً لبحث العامّ الماضي حول ملفّات تعريف الارتباط على مواقع الويب، تعاونّا مجددًا مع باحثين مستقلّين قاموا بتحليل مجموعةٍ أخرى تضمّ أكثر من 93.7 مليار ملف تعريف ارتباط معروضة للبيع على منتديات الويب المظلم وأسواق تيليجرام. درس الباحثون مصدرها، ومحتوياتها، وما إذا كانت نشطةً أم لا، كما وقفوا أيضًا على كيفية استخدامها من قبل مجرمي الإنترنت.

نرجو الانتباه إلى أنّ شركة NordVPN وشركاءها في البحث لم يشتروا ملفّات تعريف الارتباط المسروقة أو يصلوا إلى محتواها. حيث اكتفى شركاؤنا فقط بتحليل البيانات المدرجة ضمن قوائم بيع ملفّات تعريف الارتباط، بما يضمن حفاظنا على خصوصية وأمان مستخدمي الإنترنت أثناء إعداد هذا التقرير البحثي.

كيف تتم سرقة ملفّات تعريف الارتباط على الويب

لا يحتاج مجرمو الإنترنت إلى مخبزٍ لتحضير الكوكيز، بل يسرقونها باستخدام البرمجيات الخبيثة. فحسب دراستنا هذه، وجد الباحثون أن جميع الكوكيز تمّ اقتناصها بواسطة برمجيات سرقة المعلومات، وأحصنة طروادة، وبرامج تسجيل ضغطات المفاتيح. صُمّم هذا النوع من البرمجيات الخبيثة خصيصًا لجمع بيانات تسجيل الدخول، وملفّات تعريف الارتباط، وكلمات المرور المحفوظة على المتصفّح، وكذا محافظ العملات المشفّرة. إليكم فيما يلي أشهر الأدوات المستخدَمة في سرقة ملفّات تعريف الارتباط على مواقع الويب حسبما أفضت إليه نتائج بحثنا:

• ريدلاين (Redline) هو واحد من أكثر برامج تسجيل المفاتيح وسرقة المعلومات استخدامًا في يومنا هذا، وقد تمّ تصنيفه رسميًا كخدمةٍ برمجية خبيثة. يتحمّل برنامج Redline Stealer المسؤولية عن أكبر جزء من ملفّات تعريف الارتباط المسروقة ضمن مجموعة بياناتنا – أي حوالي 42 مليار ملف تعريف ارتباط- لم يتبقّ منها سوى 6.2% فقط نشطة، ما يعني أن عمر البيانات المسروقة بواسطته قصيرٌ نسبيًا.
• فيدار (Vidar) هي أيضًا برمجية خبيثة تأخذ شكل خدمةٍ ذات تكوينات محدّدة، تمّ تصميمها لاستهداف أنواع معيّنة من البيانات. وقد جمعت حوالي 10.5 مليار ملف تعريف ارتباط، لا يزال 7.2% منها صالحًا.
• لوما-سي2 (LummaC2) هي برمجية خبيثة تُقدَّم كخدمةٍ موجّهة لفائدة مجرمي الإنترنت، تشهد وتيرة استخدامها تزايدًا مستمرًّا رغم حداثة عهدها. خلُصت نتائج بحثنا إلى أنّ هذه البرمجية مسؤولة عن أكثر من 8.8 مليار ملف تعريف ارتباط مسروق، لا يزال 6.5% منها نشطًا.
• كرريبت-بوت (CryptBot) هو برنامج مصمّم لسرقة المعلومات، يستهدف أنظمة تشغيل ويندوز في المقام الأوّل. بالرّغم من تورّطه في سرقة 1.4 مليار ملف تعريف ارتباط فقط، إلا أنّ 83.4% منها لا تزال نشطة، ممّا يجعله أكثر البرمجيات الخبيثة فعاليةً ضمن قائمتنا.

تتّسم أدوات البرمجيات الخبيثة هذه بسهولة استخدامها وتوافرها على نطاق واسع، ممّا يجعلها في متناول أيّ شخص تقريبًا. غالبًا ما تختبئ هذه البرمجيات داخل تطبيقاتٍ أو برامج مقرصَنة أو تنزيلات تبدو غير ضارّة. وبمجرّد تثبيتها على جهازك، تهرع لفحص ملفّات تعريف الارتباط المخزّنة على متصفّحك وإرسال كل شيء إلى خادم الأوامر والتحكّم. ومن هناك، قد يتمّ إدراج بياناتك على الويب المظلم، وهو ما يستغرق عادةً بضع دقائق فقط.

ماذا يوجد داخل وعاء الكوكيز؟

إذن، على ماذا تحتوي هذه الكوكيز؟ أشياء كثيرة جدًا! عندما يعرض مجرمو الإنترنت ملفّات تعريف الارتباط المسروقة للبيع، غالبًا ما يضعون عليها كلمات مفتاحية لإظهار نوع البيانات التي سيحصل عليها المشتري. شملت قائمة الكلمات المفتاحية الأكثر شيوعًا كلمة "مُعرِّف" (18 مليار)، تليها "جلسة" (1.2 مليار). تمّ كذلك وسم عددٍ كبير من ملفّات تعريف الارتباط المسروقة بكلمات مفتاحية أخرى مثل "مصادقة" (272.9 مليون) و"تسجيل الدخول" (61.2 مليون). تُشير هذه الوسوم إلى أنّ ملفّات تعريف الارتباط تلك متعلّقة بحسابات معيّنة تابعة لمستخدمين معروفين، ما يعني أنّ إمكانية إعادة استخدامها لاختراق جلسات مباشرة دون كلمة مرور تبقى قائمة. أمّا ما أثار المخاوف لدينا بشكلٍ خاصّ هو وجود 15.6 مليار ملفّ تعريف ارتباط نشط من بين 93.7 مليار ملف تعريف ارتباط مسروق خضع للتحليل.

إمكانية الوصول إلى حسابات مستخدمي الإنترنت ليست وحدها أبرز المخاطر. فبعض ملفّات تعريف الارتباط تلك تحتوي أيضًا على معلوماتٍ شخصية حسّاسة، كاسم المستخدم مثلًا وعنوان بريده الإلكتروني وبلده ومدينته، هذا بالإضافة إلى جنسه وتاريخ ميلاده، بل وحتّى عنوان منزله. تكتسي هذه التفاصيل الدقيقة نفس القدر من الخطورة لأنّها قد تسمح لمُجرمي الإنترنت ببناء هجمات هندسة اجتماعية مُشخّصة، قد تؤدّي في أسوأ الحالات إلى سرقة هويات المستخدمين. إذ وبمجرّد الكشف عن تفاصيلك الشخصية، كموقعك الجغرافي مثلًا أو تاريخ ميلادك، فإنّ ذلك لن يُمثّل خطرًا على خصوصيتك فحسب، بل وعلى سلامتك الشخصية أيضًا.

من أين جاءت الكوكيز؟

سلّط الباحثون الضوء كذلك على مصدر ملفّات تعريف الارتباط المسروقة، وذلك عبر تحليل ثلاثة عوامل رئيسية: المنصّة التي تم استخراجها منها، بلد المنشأ، وكذا نظام التّشغيل.

المنصّات

تُهيمن الأسماء الثقيلة كما هو متوقّع، حيث شغلت ملفّات تعريف الارتباط المتعلّقة بخدمات منصّة جوجل حصّة الأسد من مجموع البيانات – بواقع أكثر من 4.5 مليار ملف تعريف ارتباط متعلّق بخدمات جيميل، جوجل-درايف، وخدمات جوجل الأخرى. بينما استحوذت كلٌّ من منصّة يوتيوب وخدمات مايكروسوفت على أكثر من مليار ملف تعريف ارتباط.

تُعد المنصّات الشهيرة أهدافًا سائغة تُسيل لعاب مجرمي الإنترنت، لأنّهم يستطيعون من خلالها استخلاص حزمة أكبر من المعلومات. إضافةً لذلك، غالبًا ما تُستخدَم حسابات جوجل ومايكروسوفت في إجراءات المصادقة متعدّدة العوامل. إذا تمكّن مجرم الإنترنت من سرقة ملفّ تعريف ارتباط جلسة جوجل أو مايكروسوفت، فسيكون بوسعه الوصول إلى البريد الإلكتروني والملفّات والتقويمات، بل وحتّى الحسابات المرتبطة دون الحاجة لتخمين كلمات المرور أو تفعيل المصادقة الثنائية.

البلدان

يمكن سرقة ملفّات تعريف الارتباط من شتّى أنحاء العالم، والأرقام المُحصّل عليها هي أكبر دليلٍ على ذلك. صحيحٌ أنّ جُلّ ملفّات تعريف الارتباط المسروقة لم تتضمّن بياناتٍ تشير إلى بلد المستخدم، إلا أنّ نظيرتها التي تضمّنت تلك المعلومة كانت مرتبطة بما لا يقلّ عن 253 دولة وأقاليم مختلفة. تم وضع علامة "غير معروف" على بعض قوائم ملفّات تعريف الارتباط، لذا، قد يكون الرّقم الحقيقي أعلى من ذلك.

جاءت البرازيل والهند وإندونيسيا والولايات المتحدة على رأس الدّول الأكثر تأثرًا. بينما تصدّرت إسبانيا القائمة الأوروبية برصيد 1.75 مليار ملف تعريف ارتباط مسروق، في حين نجد المملكة المتحدة، التي وبالرغم من عدم استئثارها إلّا بحوالي 800 مليون ملف تعريف ارتباط فقط، إلا أنّها سجلت نسبةً عالية من ملفّات تعريف الارتباط النّشطة، 8.3%.

على الصّعيد العربي، تأثرّت الدول الخليجية بسرقة 1.88 مليار ملف تعريف ارتباط؛ 2% منها لا زالت نشطة. كان للمملكة العربية السّعودية ودولة الإمارات نصيب الأسد من هذا الرّقم. إذ حلّت الإمارات العربية المتّحدة في المرتبة الثانية بحوالي 514 مليون ملف تعريف ارتباط؛ 7.47% منها في حالة نشطة. بينما تصدّرت المملكة العربية السّعودية هذه القائمة بحصدها 703 مليون ملف تعريف ارتباط مسروق؛ 8% منها في حالة نشطة.

الأجهزة

معظم ملفّات تعريف الارتباط جرى اقتناصها من أجهزةٍ تعمل بنظام ويندوز، وهو أمر غير مفاجئ لأنّ معظم البرمجيات الخبيثة تستهدف هذا النظام تحديدًا. ومع ذلك، فقد تمّ اقتناص أكثر من 13.2 مليار ملف تعريف ارتباط من أنظمة تشغيلٍ أخرى، أو من مصادر غير معروفة. لذا، وبما أنّ مستخدمي ويندوز هم أكبر المستهدَفين كما هو واضح، إلّا أنّ مستخدمي الأنظمة الأخرى لا يجب عليهم الشعور بالأمان التامّ، فالهجمات السّيبرانية التي تُشنّ على أنظمة التشغيل الأخرى لا زالت قائمةً على قدمٍ وساق.

ما الذي يمكن أن يفعله المهاجم بملفّات تعريف الارتباط على مواقع الويب؟

قد تبدو ملفّات الكوكيز موضوعًا تافهًا لا يستحق عناء التمحيص فيه، لكنّها قد تفتح الباب على مصراعيه أمام مجرم الإنترنت للتمحيص في أسرارك الشخصية ونشاطك الرقمي. في الحقيقة، حتّى أكثر ملفّات تعريف الارتباط التي تبدو عديمة الجدوى في نظرك، قد تُلحق ضررًا كبيرًا بك أو بعملك. إذ وبمجرّد فتح بابٍ واحد فقط، يصبح فتح الأبواب الأخرى في غاية السّهولة. ملفّات تعريف ارتباط الجلسة، لا سيّما النّشطة منها، تُعدّ كنزًا ثمينًا في نظر مجرم الإنترنت. فهي تُمكّنه من تخطّي صفحات تسجيل الدخول بلا عناء. للأسف، المخاطر لا تتوقف عند هذا الحدّ. إذ يُمكنه أيضًا استغلال ملفّات تعريف الارتباط المسروقة في:

• الاستيلاء على حساباتك على وسائل التّواصل الاجتماعي أو حسابات بريدك الإلكتروني أو حتّى تلك التي تستعملها للتسوّق عبر الإنترنت.
• اِنتحال شخصيتك على شبكة الإنترنت باستخدام بيانات تسجيل الدخول المحفوظة أو معلومات الملء التّلقائي.
• تجاوز المصادقة ثنائية العوامل إذا كان ملفّ تعريف الارتباط يُشير إلى جهازٍ "موثوق به".
• شنّ هجمات تصيّد احتيالي موجّهة باستخدام معلوماتك الشخصية.
• التنقل جانبيًا عبر الشّبكة، لا سيّما شبكات المؤسّسات التي تعتمد نظام تسجيل الدّخول الموحّد (SSO)، القائم على ملفّات تعريف الارتباط.
• الوصول إلى البيانات المالية أو بيانات العملاء وغيرهما من المعلومات الحسّاسة.
• المساعدة في نشر هجمات برامج الفدية الخبيثة عبر سرقة بيانات اعتماد تسجيل الدّخول أو الوصول إلى أذونات النّظام ذات المستوى الأعلى.

كيفية غلق وعاء الكوكيز

إنّ حماية نفسك من سرقة ملفّات تعريف الارتباط لا يعني بالضرورة تخلّيك عن الإنترنت بشكلٍ نهائي، ولكنّه يستدعي منك تغيير بعض العادات:

• فكِّر مليًا قبل قبول ملفّات تعريف الارتباط. الخطوة الأولى نحو تعزيز أمانك هي أن تُدرك بأنّ ملفّات تعريف الارتباط ليست في مجملها ضرورية، وأنّك غير مضطر لقبول جميع ملفّات تعريف الارتباط لمجرّد أنّك قد لاحظت خيار "قبول الكلّ". ننصحك دائمًا برفض ملفّات تعريف الارتباط غير الضّرورية إذا كان ذلك ممكنًا، خاصةً ملفّات تعريف ارتباط الطّرف الثالث، أو تلك التي تتعقّب سلوكك أثناء تصفّح الموقع. واعلم بأنّ معظم المواقع الإلكترونية سوف تعمل بشكلٍ جيّد من دونها.
• اِحصل على أدوات أمان إضافية. غالبًا ما تتسلّل البرمجيات الخبيثة، بما فيها برامج سرقة المعلومات، إلى حاسوبك من خلال التنزيلات أو روابط التصيّد الاحتيالي. يمكن لأدواتٍ معيّنة مثل ™Threat Protection Pro أن تحظر مواقع الويب الخبيثة وتفحص التنزيلات بحثًا عن البرمجيات الخبيثة قبل تسلّلها إلى حاسوبك.
• واظب على مسح ملفّات تعريف الارتباط بانتظام. ليست كلّ ملفّات تعريف الارتباط جديرة بالاحتفاظ بها، لذا، ننصحك بالتخلّص من الملفّات القديمة. اجعلها عادةً لديك، تحديدًا بعد تسجيل دخولك إلى حساباتك على أجهزة الحاسوب العامّة أو المشتركة. قد تبدو هذه الخطوة بسيطةً في نظرك، ولكنّها ستساعدك كثيرًا على تقليص الفترة الزّمنية التي يمكن للمجرم خلالها اختراق بياناتك.

استخدم اتّصالًا أكثر أمانًا. اِبدأ بتجنّب شبكات Wi-Fi العامّة أو الاتّصالات غير المشفّرة. احصل على شبكة افتراضية خاصّة (VPN)، ستتولّى تشفير حركة مرور بياناتك على شبكة الإنترنت. إنّها، وبلا أدنى شكّ، أكثر الأدوات التقنية فعاليةً في حمايتك من القراصنة والمُتنصّتين في الفضاء الرّقمي.