في عام 2025، لا يكتفي مجرمو الإنترنت بتجاوز الدفاعات التقليدية فحسب، بل يحولونها إلى أسلحة.
هناك موجة جديدة من هجمات التصيّد الاحتيالي التي تسيء استخدام الخدمات الموثوقة مثل Google لتخطي حتى أكثر صناديق البريد الوارد وعياً بالأمان. وغالباً ما تجتاز هذه الرسائل عمليات التحقق من SPF و DKIM و DMARC. وهي تأتي من نطاقات شرعية. وهي تحمل علامة الاختيار الخضراء المطمئنة في Google Workspace. ومع ذلك، فهي خبيثة.
المشكلة؟ مصادقة البريد الإلكتروني لا تفحص السلوك
| طبقة الأمان | باب | الغرض | ما الذي يحميه |
|---|---|---|---|
| إطار سياسة المرسل (SPF ) | المصادقة | التحقق من صحة عنوان IP خادم الإرسال | يمنع انتحال خوادم الإرسال |
| DKIM (البريد المعرّف بمفاتيح النطاق) | المصادقة | ضمان سلامة الرسائل | يحمي الرسالة من العبث |
| DMARC (إنفاذ سياسة DMARC ) | المصادقة | يقوم بمحاذاة SPF/DKIM مع المرسل المرئي | يمنع الاستخدام غير المصرح به للنطاق: من: المجال |
| الحماية من انتحال العلامة التجارية | الثقة الصفرية/الثقة الصفرية | يكتشف انتحال العلامات التجارية، وليس فقط النطاق | يمنع التصيد المرئي بالتصميم الخادع |
| تحليل الروابط والصفحات | انعدام الثقة / السلوكيات | تحليل الروابط المضمنة والصفحات المقصودة | يكتشف التصيد الاحتيالي وفخاخ بيانات الاعتماد |
| Sandbox ومحاكاة السلوكMetaDefender Sandbox) | انعدام الثقة / السلوكيات | مراقبة السلوك الديناميكي للارتباطات والملفات والنماذج | يكتشف النوايا، والبرمجيات الخبيثة، وشركات التشغيل الدولية، حتى في المجالات الموثوقة |
لمواكبة ذلك، تحتاج فرق أمن المؤسسات إلى أكثر من مجرد إشارات قائمة على الثقة. فهم بحاجة إلى الكشف القائم على السلوك. وهنا يأتي دور OPSWAT MetaDefender Sandbox في هذا المجال.
موقعة ومختومة ومختومة ومخترقة: ثغرة إعادة تشغيل DKIM
أحد التكتيكات الناشئة هو هجوم إعادة تشغيل DKIM - حيث يقوم المهاجم بإعادة استخدام عنوان بريد إلكتروني موقّع بشكل شرعي ولكنه يُلحق محتوى خبيثًا خارج الجزء الموقّع.
إليك كيفية عمل ذلك:
- يستخدم DKIM توقيعًا للتحقق من عدم تغيير جزء من الرسالة.
- ولكن إذا تم استخدام علامة l= (الطول)، يتم توقيع جزء من الرسالة فقط.
- يمكن للمهاجم إدراج محتوى خبيث بعد ذلك الجزء الموقّع - تاركًا فحص DKIM سليمًا تمامًا.
- يمر DMARC، لأنه يعتمد على SPF أو DKIM للتحقق من صحة المصدر.
والنتيجة؟ رسالة موثقة تمامًا تقدم محتوى تصيد احتيالي.
إساءة استخدام OAuth التصيد الاحتيالي: اختطاف الثقة من داخل تنبيهات جوجل
هناك اتجاه آخر مثير للقلق وهو إساءة استخدام البنية الأساسية OAuth من Google.
المهاجمون هم:
- إنشاء تطبيقات OAuth مزيفة تحمل أسماء مثل "تحديث أمان جوجل" أو "مطلوب مراجعة الحساب"
- إرسال تنبيهات أمنية موقعة من Google لإخطار المستخدمين بهذه التطبيقات
- تضمين روابط التصيّد الاحتيالي في تلك التنبيهات المدعومة من نطاقات عدم الرد الشرعية من جوجل
يظهر إغراء التصيد الاحتيالي بأكمله بتنسيق يحمل علامة Google التجارية، باستخدام تنبيهات مترابطة وسمعة النطاق لنزع سلاح المستخدمين. إنها ليست مخادعة - بل تستضيفها جوجل.
علامة الاختيار الخضراء ليست كافية
إنه شعور زائف بالأمان. قد تظل الرسالة التي تجتاز SPF وDKIM وDMARC:
- تحتوي على صفحات حصاد بيانات الاعتماد
- استخدم حيل واجهة المستخدم لإخفاء حقول تسجيل الدخول
- استغلال المسافات البيضاء لتأخير الحمولات الخبيثة
- استضافة صفحات مزيفة لتسجيل الدخول إلى مايكروسوفت أو جوجل على بنية تحتية شرعية (على سبيل المثال، sites.google.com)
تقوم مصادقة البريد الإلكتروني بالتحقق من صحة مصدر الرسالة فقط - وليس ما تقوم به.
MetaDefender Sandbox: طبقة دفاع حاسمة لسلوك البريد الإلكتروني
يضيف Sandbox MetaDefender Sandbox منOPSWAT رؤية بالغة الأهمية. فبدلاً من الاعتماد على التوقيعات أو التحقق من صحة المرسل، يحاكي صندوق الحماية سلوك البريد الإلكتروني:
- فحص الروابط الديناميكي - تتبع الروابط المضمنة في بيئة آمنة لتقييم سلوك الصفحة في الوقت الفعلي
- تحليل واجهة المستخدم والتخطيط - تحديد شاشات تسجيل الدخول المزيفة، والحقول المخفية، وفخاخ بيانات الاعتماد
- الكشف عن تدفق التصيد الاحتيالي - يكتشف عمليات إعادة التوجيه وعمليات إرسال النماذج ونقاط النهاية التي يتحكم فيها المهاجمون
نظرًا لأنه لا يثق بالبريد الإلكتروني بشكل افتراضي، يكتشف برنامج MetaDefender Sandbox ما تفوته الحلول القائمة على المصادقة. فحتى رسائل البريد الإلكتروني الموقعة والمصادق عليها و"المصادق عليها" يمكن أن تُستخدم كسلاح. يكشف MetaDefender النية الحقيقية.
ما الذي يجب على الشركات القيام به الآن
التصيد الاحتيالي يتطور. يجب أن تتطور دفاعاتك أيضاً. إليك كيفية المضي قدماً:
- اعتماد Email Security بدون ثقة - لا تعتمد فقط على الرؤوس والبيانات الوصفية. افحص محتوى البريد الإلكتروني وسلوكه.
- إضافة وضع الحماية المستند إلى السلوك - عزز حزمة الكشف لديك بتحليل ديناميكي للروابط والنماذج والحمولات.
- التنبيهاتSecure ورسائل البريد الإلكتروني الخاصة بالنظام - يجعل OAuth وإساءة استخدام النطاق حتى رسائل البريد الإلكتروني للتنبيهات ناقل تهديد محتمل.
فحص ما لا تستطيع المصادقة وحدها رؤيته
اكتشف كيف OPSWAT MetaDefender Sandbox يكتشف التصيد الاحتيالي المتقدم - حتى من مصادر "موثوقة" مثل تنبيهات Google. تحدث إلى أحد الخبراء اليوم واكتشف كيف يمكنك وضع صندوق الحماية المتقدم الخاص بنا في الخطوط الأمامية لاستراتيجية أمان بريدك الإلكتروني.
