🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

ما وراء الماسح الضوئي: كيف يتفوق المخادعون على آليات الكشف التقليدية

لم تعد هجمات التصيد الاحتيالي تتعلق فقط برسائل البريد الإلكتروني المزيفة والروابط المشبوهة - بل إنها تتطور إلى عمليات خفية تتفوق حتى على أدوات الكشف الأكثر تقدمًا. في هذه المدونة، يكشف فريق أبحاث التهديدات في CloudSek عن كيفية استخدام المخادعين الحديثين للسياج الجغرافي وتصفية وكيل المستخدم وأساليب المراوغة الأخرى للبقاء مخفيين عن الماسحات الضوئية التقليدية. وبدعم من أمثلة العالم الحقيقي وإحصاءات الخبراء، نعرض أيضًا كيف تكشف منصة xviGil من CloudSek، المدعومة بوحدة Fake Domain Finder (FDF)، ما يفتقده الآخرون. تابع القراءة لمعرفة كيفية تصميم حملات التصيد الاحتيالي الحالية للخداع - وكيفية الرد.

أنشومان داس
March 26, 2025
Green Alert
Last Update posted on
August 21, 2025
لا تدع علامتك التجارية تُستخدم للقبض على المستخدمين من خلال عناوين URL المزيفة وصفحات التصيد الاحتيالي

حدد الروابط الضارة ومحاولات التصيد الاحتيالي وواجهها بفعالية باستخدام CloudSek xvigil عناوين URL المزيفة ووحدة التصيد الاحتيالي، مما يعزز دفاعك ضد التهديدات الإلكترونية

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

فريق أبحاث التهديدات في CloudSek، بمساعدة وحدة FDF في الجيل السادس عشر، تراقب باستمرار التهديدات الناشئة التي تنتحل شخصية علامات تجارية مختلفة وتستخدم تقنيات متطورة لتجنب اكتشافها بواسطة محركات فحص عناوين URL التقليدية. نظرًا للتكتيكات المتطورة لمجرمي الإنترنت، فإن فهم أساليبهم أمر بالغ الأهمية. يخصص فريق أبحاث التهديدات لدينا وقتًا كبيرًا لتحليل الأنماط والاستراتيجيات المستخدمة من قبل هذه الجهات الفاعلة في مجال التهديد.

في هذه المدونة، سوف نستكشف كيف يتجاوز المخادعون تقنيات مسح عناوين URL التقليدية ويظلون نشطين لفترات طويلة قبل اكتشافهم وحذفهم.

تقنيات التهرب من التصيد الاحتيالي الأساسية

التصفية ذات السياج الجغرافي والقائمة على بروتوكول الإنترنت

توجد التصفية ذات السياج الجغرافي والقائمة على بروتوكول الإنترنت بسبب بعض القوانين الإلكترونية والرقابة على المحتوى الرقمي أو أحيانًا لأسباب أمنية. في هذا النهج، تقدم مواقع الويب الخاضعة للرقابة المحتوى فقط للمستخدمين الذين يصلون إليها من مساحة عنوان IP الإقليمية المدرجة في القائمة البيضاء. من ناحية أخرى، يتم أيضًا استخدام نفس تقنيات السياج الجغرافي والتصفية القائمة على بروتوكول الإنترنت من قبل مجرمي الإنترنت والمخادعين. بمجرد تفاعل أي من جانب العميل مع مواقع التصيد المسيجة جغرافيًا، يقوم الموقع أولاً بجمع معلومات حول موقع IP الخاص بالعميل. إذا لم يتطابق عنوان IP مع مساحة عنوان IP الخاصة بكل بلد، فقد تتم إعادة توجيهه إلى موقع ويب آخر ذي مظهر شرعي (في معظم الحالات، google.com أو bing.com) أو إلى موقع الويب/صفحة الخدمة الشرعية التي ينتحل موقع التصيد الاحتيالي شخصيتها.

على سبيل المثال، مجموعة التصيد الاحتيالي الواردة أعلاه، والتي تستهدف صفحة Chase Wallet، وهي مؤسسة مصرفية مقرها الولايات المتحدة الأمريكية. يتحقق ملف التكوين من المعلمات المختلفة من جانب العميل للضحية/الزائر. في قسم المصفوفة، يحتوي على أسماء البلدان، مما يشير إلى أنه لا يمكن الوصول إلى صفحة التصيد الاحتيالي إلا عبر عناوين IP التابعة لتلك البلدان؛ وإلا، سيتم إعادة التوجيه إلى bing.com. الآن، تخيل ما إذا لم يتم تكوين ماسحات عناوين URL باستخدام وكيل أو مساحات عناوين IP المناسبة. إذا حاولوا فحص عناوين URL التي تستضيف مجموعة التصيد هذه، فلن يتمكنوا من الوصول إليها بسبب قيود السياج الجغرافي.

مثال على رمز داخلي للتصيد الاحتيالي يُظهر الوصول المستند إلى البلد إلى صفحة التصيد الاحتيالي في Chase Wallet

التصفية القائمة على وكيل المستخدم

أ وكيل المستخدم هو عنوان طلب HTTP الذي يوفر معلومات حول العميل (المتصفح ونظام التشغيل والجهاز) الذي يقوم بإجراء الطلبات. يمكن لمطوري المعلومات باستخدام هذه المعلومات تحسين محتوى الويب لأجهزة متصفح معينة، وتوفير تجارب مستخدم أفضل وتحديد برامج الروبوت أو برامج الزحف أو الأدوات الآلية.

في الأيام الأخيرة، ركز المحتالون على توزيع معظم روابط التصيد الاحتيالي عبر الرسائل القصيرة أو برامج المراسلة عبر وسائل التواصل الاجتماعي من خلال الرسائل المباشرة (DMs)، وانتحال شخصية الأفراد أو المنظمات الشعبية. لحظر حركة المرور غير المرغوب فيها، قاموا بتصفية جميع الزيارات الواردة إلى صفحات التصيد المستضافة الخاصة بهم، مما أدى إلى تقييد الوصول إلى الأجهزة المحمولة بناءً على اكتشاف وكيل المستخدم.

التصفية القائمة على رأس المرجع

رأس المرجع هو رأس طلب HTTP يوفر معلومات حول عنوان URL الذي انتقل منه المستخدم إلى الطلب الحالي. يتم استخدامه بشكل أساسي للتحليلات والتتبع وحماية CSRF وتخصيص المحتوى وتوزيع الإعلانات وما إلى ذلك في السنوات الأخيرة، لاحظنا أن المخادعين بدأوا في استخدام عنوان Referer بعد تشغيل إعلانات Facebook و Instagram باستخدام عناوين URL المخادعة. تقوم مواقع التصيد الاحتيالي هذه بفحص رأس المرجع لتحديد ما إذا كان المستخدم يصل إلى الموقع من إحدى منصات الوسائط الاجتماعية هذه أو بشكل مباشر. إذا وصل المستخدم إلى عنوان URL الاحتيالي مباشرةً، فلن تعرض الصفحة أي محتوى. الأمر نفسه ينطبق على محركات فحص الأمان - إذا كان عنوان المرجع مفقودًا، تظل صفحة التصيد الاحتيالي غير مكتشفة.

التصفية القائمة على المعلمات

التصفية المستندة إلى المعلمات هي تقنية يقوم فيها بعض المنطق من ملف البرنامج بالتحقق من صحة معلمات URL الواردة (سلاسل الاستعلام أو الرموز المميزة أو المعرفات) قبل عرض محتوى التصيد الفعلي. يستخدم المخادعون هذه الطريقة لإخفاء الصفحات الضارة من الماسحات الأمنية والتأكد من أن الضحايا المستهدفين فقط يمكنهم الوصول إليها. تساعد هذه التقنية على منع الماسحات الأمنية من فحص محتوى التصيد الاحتيالي مباشرةً وضمان حصول الضحايا فقط على صفحة التصيد الاحتيالي. تساعد هذه الطريقة روابط التصيد الاحتيالي على البقاء نشطة لفترة أطول من الوقت ما لم يتم الإبلاغ عنها من قبل الضحية.

مثال على عناوين URL ذات المعلمات

https://phishingsite.com/login?session=abc123
https://phishingsite.com/?session=abc123

لاحظنا مؤخرًا أنه بالإضافة إلى إساءة استخدام روابط التصيد الاحتيالي ذات المعلمات، يستغل المحتالون ميزة URI الكلاسيكية التي تسمح للمستخدمين بالوصول إلى مواقع الويب المحمية بكلمة مرور من خلال تضمين بيانات الاعتماد في عنوان URL قبل الرمز «@». يتبع هذا التنسيق:

ومع ذلك، حتى إذا كان موقع الويب لا يتطلب المصادقة، فإن إدخال أي بيانات اعتماد عشوائية بهذا التنسيق لا يزال يعيد توجيه الموقع وتحميله دون أي مشكلة. يستفيد المحتالون من هذا السلوك من خلال صياغة عناوين URL المخادعة مثل:

للوهلة الأولى، قد يفترض الضحايا أنهم يزورون موقع realsite.com، ولكن نظرًا لكيفية تفسير المتصفحات لعنوان URL، تتم إعادة توجيهها فعليًا إلى موقع fakesite.com—صفحة التصيد الاحتيالي. تستغل هذه التقنية ثقة المستخدم وثبت أنها خادعة للغاية، مما يجعلها حملات تصيد فعالة ويتم توزيعها عبر WhatsApp.

على سبيل المثال، ينتحل نطاق التصيد الاحتيالي mangokl [.] com شخصية Mango، وهي شركة إسبانية لبيع الأزياء السريعة بالتجزئة. يمكن للمهاجم إنشاء رابط تصيد مخادع مثل:https://shop.mango.com@mangokl[.]com

قد يثق المستخدم المطمئن، الذي يرى «shop.mango.com» المألوف في بداية عنوان URL، عن طريق الخطأ في الرابط ويستمر في تسجيل الدخول دون تردد - غير مدرك أنه تتم إعادة توجيهه بالفعل إلى موقع التصيد الاحتيالي.

صفحة ويب للتصيد الاحتيالي لانتحال شخصية Mango

اكتشاف مواقع التصيد هذه على نطاق واسع

غالبًا ما تعاني آليات الكشف التقليدية من محاولات التصيد الاحتيالي التي تستخدم تقنيات التهرب مثل السياج الجغرافي وتصفية وكيل المستخدم وتصفية رأس المرجع والتصفية القائمة على المعلمات. للتغلب على هذه التحديات، تستخدم منصة xvGIL الخاصة بـ CloudSek وحدة Fake Domain Finder (FDF). تم تصميم هذه الوحدة لتجاوز السياج الجغرافي باستخدام عناوين IP متنوعة وبروكسيات من مناطق مختلفة، مما يضمن الوصول إلى المواقع المقيدة. كما أنه يحاكي وكلاء المستخدم المختلفين لاكتشاف محاولات التصيد الاحتيالي التي تستهدف أجهزة معينة. بالإضافة إلى ذلك، تحاكي وحدة FDF العديد من رؤوس المراجع للكشف عن المواقع التي تعتمد على طريقة التصفية هذه. علاوة على ذلك، فإنه يحلل عناوين URL ذات المعلمات، بما في ذلك تلك التي تحتوي على بيانات اعتماد مضمنة، لتحديد صفحات التصيد المخفية. يعمل فريق CloudSek Threat Research باستمرار على تحسين قدرات وحدة FDF وتحديث قوائم الوكلاء وسلاسل وكيل المستخدم ورؤوس المراجع ومنطق تحليل عناوين URL للبقاء في طليعة أساليب التصيد المتطورة. يسمح هذا النهج الشامل لـ CloudSek بالكشف الفعال عن حملات التصيد الاحتيالي المعقدة التي تفوتها الماسحات الضوئية التقليدية.

المراجع

  • https://www.cloudsek.com/blog/unmasking-cyber-deception-the-rise-of-generic-phishing-pages-targeting-multiple-brands

Author

أنشومان داس

أبحاث التهديدات @CloudSEK

Predict Cyber threats against your organization

Related Posts

Spear Phishing Scams: The CEO Impersonation Fraud Threatening IT Companies

While investigating phishing cases of various customers, CloudSEKs’ analysts identified a spear phishing campaign targeting multiple corporations.

FASTag Phishing Campaigns Flourish on Social Media

FASTag Phishing Campaigns Flourish on Social Media

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

التصيد الاحتيالي
Table of Content

ملخص تنفيذي

فريق أبحاث التهديدات في CloudSek، بمساعدة وحدة FDF في الجيل السادس عشر، تراقب باستمرار التهديدات الناشئة التي تنتحل شخصية علامات تجارية مختلفة وتستخدم تقنيات متطورة لتجنب اكتشافها بواسطة محركات فحص عناوين URL التقليدية. نظرًا للتكتيكات المتطورة لمجرمي الإنترنت، فإن فهم أساليبهم أمر بالغ الأهمية. يخصص فريق أبحاث التهديدات لدينا وقتًا كبيرًا لتحليل الأنماط والاستراتيجيات المستخدمة من قبل هذه الجهات الفاعلة في مجال التهديد.

في هذه المدونة، سوف نستكشف كيف يتجاوز المخادعون تقنيات مسح عناوين URL التقليدية ويظلون نشطين لفترات طويلة قبل اكتشافهم وحذفهم.

تقنيات التهرب من التصيد الاحتيالي الأساسية

التصفية ذات السياج الجغرافي والقائمة على بروتوكول الإنترنت

توجد التصفية ذات السياج الجغرافي والقائمة على بروتوكول الإنترنت بسبب بعض القوانين الإلكترونية والرقابة على المحتوى الرقمي أو أحيانًا لأسباب أمنية. في هذا النهج، تقدم مواقع الويب الخاضعة للرقابة المحتوى فقط للمستخدمين الذين يصلون إليها من مساحة عنوان IP الإقليمية المدرجة في القائمة البيضاء. من ناحية أخرى، يتم أيضًا استخدام نفس تقنيات السياج الجغرافي والتصفية القائمة على بروتوكول الإنترنت من قبل مجرمي الإنترنت والمخادعين. بمجرد تفاعل أي من جانب العميل مع مواقع التصيد المسيجة جغرافيًا، يقوم الموقع أولاً بجمع معلومات حول موقع IP الخاص بالعميل. إذا لم يتطابق عنوان IP مع مساحة عنوان IP الخاصة بكل بلد، فقد تتم إعادة توجيهه إلى موقع ويب آخر ذي مظهر شرعي (في معظم الحالات، google.com أو bing.com) أو إلى موقع الويب/صفحة الخدمة الشرعية التي ينتحل موقع التصيد الاحتيالي شخصيتها.

على سبيل المثال، مجموعة التصيد الاحتيالي الواردة أعلاه، والتي تستهدف صفحة Chase Wallet، وهي مؤسسة مصرفية مقرها الولايات المتحدة الأمريكية. يتحقق ملف التكوين من المعلمات المختلفة من جانب العميل للضحية/الزائر. في قسم المصفوفة، يحتوي على أسماء البلدان، مما يشير إلى أنه لا يمكن الوصول إلى صفحة التصيد الاحتيالي إلا عبر عناوين IP التابعة لتلك البلدان؛ وإلا، سيتم إعادة التوجيه إلى bing.com. الآن، تخيل ما إذا لم يتم تكوين ماسحات عناوين URL باستخدام وكيل أو مساحات عناوين IP المناسبة. إذا حاولوا فحص عناوين URL التي تستضيف مجموعة التصيد هذه، فلن يتمكنوا من الوصول إليها بسبب قيود السياج الجغرافي.

مثال على رمز داخلي للتصيد الاحتيالي يُظهر الوصول المستند إلى البلد إلى صفحة التصيد الاحتيالي في Chase Wallet

التصفية القائمة على وكيل المستخدم

أ وكيل المستخدم هو عنوان طلب HTTP الذي يوفر معلومات حول العميل (المتصفح ونظام التشغيل والجهاز) الذي يقوم بإجراء الطلبات. يمكن لمطوري المعلومات باستخدام هذه المعلومات تحسين محتوى الويب لأجهزة متصفح معينة، وتوفير تجارب مستخدم أفضل وتحديد برامج الروبوت أو برامج الزحف أو الأدوات الآلية.

في الأيام الأخيرة، ركز المحتالون على توزيع معظم روابط التصيد الاحتيالي عبر الرسائل القصيرة أو برامج المراسلة عبر وسائل التواصل الاجتماعي من خلال الرسائل المباشرة (DMs)، وانتحال شخصية الأفراد أو المنظمات الشعبية. لحظر حركة المرور غير المرغوب فيها، قاموا بتصفية جميع الزيارات الواردة إلى صفحات التصيد المستضافة الخاصة بهم، مما أدى إلى تقييد الوصول إلى الأجهزة المحمولة بناءً على اكتشاف وكيل المستخدم.

التصفية القائمة على رأس المرجع

رأس المرجع هو رأس طلب HTTP يوفر معلومات حول عنوان URL الذي انتقل منه المستخدم إلى الطلب الحالي. يتم استخدامه بشكل أساسي للتحليلات والتتبع وحماية CSRF وتخصيص المحتوى وتوزيع الإعلانات وما إلى ذلك في السنوات الأخيرة، لاحظنا أن المخادعين بدأوا في استخدام عنوان Referer بعد تشغيل إعلانات Facebook و Instagram باستخدام عناوين URL المخادعة. تقوم مواقع التصيد الاحتيالي هذه بفحص رأس المرجع لتحديد ما إذا كان المستخدم يصل إلى الموقع من إحدى منصات الوسائط الاجتماعية هذه أو بشكل مباشر. إذا وصل المستخدم إلى عنوان URL الاحتيالي مباشرةً، فلن تعرض الصفحة أي محتوى. الأمر نفسه ينطبق على محركات فحص الأمان - إذا كان عنوان المرجع مفقودًا، تظل صفحة التصيد الاحتيالي غير مكتشفة.

التصفية القائمة على المعلمات

التصفية المستندة إلى المعلمات هي تقنية يقوم فيها بعض المنطق من ملف البرنامج بالتحقق من صحة معلمات URL الواردة (سلاسل الاستعلام أو الرموز المميزة أو المعرفات) قبل عرض محتوى التصيد الفعلي. يستخدم المخادعون هذه الطريقة لإخفاء الصفحات الضارة من الماسحات الأمنية والتأكد من أن الضحايا المستهدفين فقط يمكنهم الوصول إليها. تساعد هذه التقنية على منع الماسحات الأمنية من فحص محتوى التصيد الاحتيالي مباشرةً وضمان حصول الضحايا فقط على صفحة التصيد الاحتيالي. تساعد هذه الطريقة روابط التصيد الاحتيالي على البقاء نشطة لفترة أطول من الوقت ما لم يتم الإبلاغ عنها من قبل الضحية.

مثال على عناوين URL ذات المعلمات

https://phishingsite.com/login?session=abc123
https://phishingsite.com/?session=abc123

لاحظنا مؤخرًا أنه بالإضافة إلى إساءة استخدام روابط التصيد الاحتيالي ذات المعلمات، يستغل المحتالون ميزة URI الكلاسيكية التي تسمح للمستخدمين بالوصول إلى مواقع الويب المحمية بكلمة مرور من خلال تضمين بيانات الاعتماد في عنوان URL قبل الرمز «@». يتبع هذا التنسيق:

ومع ذلك، حتى إذا كان موقع الويب لا يتطلب المصادقة، فإن إدخال أي بيانات اعتماد عشوائية بهذا التنسيق لا يزال يعيد توجيه الموقع وتحميله دون أي مشكلة. يستفيد المحتالون من هذا السلوك من خلال صياغة عناوين URL المخادعة مثل:

للوهلة الأولى، قد يفترض الضحايا أنهم يزورون موقع realsite.com، ولكن نظرًا لكيفية تفسير المتصفحات لعنوان URL، تتم إعادة توجيهها فعليًا إلى موقع fakesite.com—صفحة التصيد الاحتيالي. تستغل هذه التقنية ثقة المستخدم وثبت أنها خادعة للغاية، مما يجعلها حملات تصيد فعالة ويتم توزيعها عبر WhatsApp.

على سبيل المثال، ينتحل نطاق التصيد الاحتيالي mangokl [.] com شخصية Mango، وهي شركة إسبانية لبيع الأزياء السريعة بالتجزئة. يمكن للمهاجم إنشاء رابط تصيد مخادع مثل:https://shop.mango.com@mangokl[.]com

قد يثق المستخدم المطمئن، الذي يرى «shop.mango.com» المألوف في بداية عنوان URL، عن طريق الخطأ في الرابط ويستمر في تسجيل الدخول دون تردد - غير مدرك أنه تتم إعادة توجيهه بالفعل إلى موقع التصيد الاحتيالي.

صفحة ويب للتصيد الاحتيالي لانتحال شخصية Mango

اكتشاف مواقع التصيد هذه على نطاق واسع

غالبًا ما تعاني آليات الكشف التقليدية من محاولات التصيد الاحتيالي التي تستخدم تقنيات التهرب مثل السياج الجغرافي وتصفية وكيل المستخدم وتصفية رأس المرجع والتصفية القائمة على المعلمات. للتغلب على هذه التحديات، تستخدم منصة xvGIL الخاصة بـ CloudSek وحدة Fake Domain Finder (FDF). تم تصميم هذه الوحدة لتجاوز السياج الجغرافي باستخدام عناوين IP متنوعة وبروكسيات من مناطق مختلفة، مما يضمن الوصول إلى المواقع المقيدة. كما أنه يحاكي وكلاء المستخدم المختلفين لاكتشاف محاولات التصيد الاحتيالي التي تستهدف أجهزة معينة. بالإضافة إلى ذلك، تحاكي وحدة FDF العديد من رؤوس المراجع للكشف عن المواقع التي تعتمد على طريقة التصفية هذه. علاوة على ذلك، فإنه يحلل عناوين URL ذات المعلمات، بما في ذلك تلك التي تحتوي على بيانات اعتماد مضمنة، لتحديد صفحات التصيد المخفية. يعمل فريق CloudSek Threat Research باستمرار على تحسين قدرات وحدة FDF وتحديث قوائم الوكلاء وسلاسل وكيل المستخدم ورؤوس المراجع ومنطق تحليل عناوين URL للبقاء في طليعة أساليب التصيد المتطورة. يسمح هذا النهج الشامل لـ CloudSek بالكشف الفعال عن حملات التصيد الاحتيالي المعقدة التي تفوتها الماسحات الضوئية التقليدية.

المراجع

  • https://www.cloudsek.com/blog/unmasking-cyber-deception-the-rise-of-generic-phishing-pages-targeting-multiple-brands

أنشومان داس
أبحاث التهديدات @CloudSEK

أبحاث التهديدات @CloudSEK

Related Blogs