🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
ملخص تنفيذي
فريق أبحاث التهديدات في CloudSek، بمساعدة وحدة FDF في الجيل السادس عشر، تراقب باستمرار التهديدات الناشئة التي تنتحل شخصية علامات تجارية مختلفة وتستخدم تقنيات متطورة لتجنب اكتشافها بواسطة محركات فحص عناوين URL التقليدية. نظرًا للتكتيكات المتطورة لمجرمي الإنترنت، فإن فهم أساليبهم أمر بالغ الأهمية. يخصص فريق أبحاث التهديدات لدينا وقتًا كبيرًا لتحليل الأنماط والاستراتيجيات المستخدمة من قبل هذه الجهات الفاعلة في مجال التهديد.
في هذه المدونة، سوف نستكشف كيف يتجاوز المخادعون تقنيات مسح عناوين URL التقليدية ويظلون نشطين لفترات طويلة قبل اكتشافهم وحذفهم.
تقنيات التهرب من التصيد الاحتيالي الأساسية
التصفية ذات السياج الجغرافي والقائمة على بروتوكول الإنترنت
توجد التصفية ذات السياج الجغرافي والقائمة على بروتوكول الإنترنت بسبب بعض القوانين الإلكترونية والرقابة على المحتوى الرقمي أو أحيانًا لأسباب أمنية. في هذا النهج، تقدم مواقع الويب الخاضعة للرقابة المحتوى فقط للمستخدمين الذين يصلون إليها من مساحة عنوان IP الإقليمية المدرجة في القائمة البيضاء. من ناحية أخرى، يتم أيضًا استخدام نفس تقنيات السياج الجغرافي والتصفية القائمة على بروتوكول الإنترنت من قبل مجرمي الإنترنت والمخادعين. بمجرد تفاعل أي من جانب العميل مع مواقع التصيد المسيجة جغرافيًا، يقوم الموقع أولاً بجمع معلومات حول موقع IP الخاص بالعميل. إذا لم يتطابق عنوان IP مع مساحة عنوان IP الخاصة بكل بلد، فقد تتم إعادة توجيهه إلى موقع ويب آخر ذي مظهر شرعي (في معظم الحالات، google.com أو bing.com) أو إلى موقع الويب/صفحة الخدمة الشرعية التي ينتحل موقع التصيد الاحتيالي شخصيتها.
على سبيل المثال، مجموعة التصيد الاحتيالي الواردة أعلاه، والتي تستهدف صفحة Chase Wallet، وهي مؤسسة مصرفية مقرها الولايات المتحدة الأمريكية. يتحقق ملف التكوين من المعلمات المختلفة من جانب العميل للضحية/الزائر. في قسم المصفوفة، يحتوي على أسماء البلدان، مما يشير إلى أنه لا يمكن الوصول إلى صفحة التصيد الاحتيالي إلا عبر عناوين IP التابعة لتلك البلدان؛ وإلا، سيتم إعادة التوجيه إلى bing.com. الآن، تخيل ما إذا لم يتم تكوين ماسحات عناوين URL باستخدام وكيل أو مساحات عناوين IP المناسبة. إذا حاولوا فحص عناوين URL التي تستضيف مجموعة التصيد هذه، فلن يتمكنوا من الوصول إليها بسبب قيود السياج الجغرافي.
التصفية القائمة على وكيل المستخدم
أ وكيل المستخدم هو عنوان طلب HTTP الذي يوفر معلومات حول العميل (المتصفح ونظام التشغيل والجهاز) الذي يقوم بإجراء الطلبات. يمكن لمطوري المعلومات باستخدام هذه المعلومات تحسين محتوى الويب لأجهزة متصفح معينة، وتوفير تجارب مستخدم أفضل وتحديد برامج الروبوت أو برامج الزحف أو الأدوات الآلية.
في الأيام الأخيرة، ركز المحتالون على توزيع معظم روابط التصيد الاحتيالي عبر الرسائل القصيرة أو برامج المراسلة عبر وسائل التواصل الاجتماعي من خلال الرسائل المباشرة (DMs)، وانتحال شخصية الأفراد أو المنظمات الشعبية. لحظر حركة المرور غير المرغوب فيها، قاموا بتصفية جميع الزيارات الواردة إلى صفحات التصيد المستضافة الخاصة بهم، مما أدى إلى تقييد الوصول إلى الأجهزة المحمولة بناءً على اكتشاف وكيل المستخدم.
التصفية القائمة على رأس المرجع
رأس المرجع هو رأس طلب HTTP يوفر معلومات حول عنوان URL الذي انتقل منه المستخدم إلى الطلب الحالي. يتم استخدامه بشكل أساسي للتحليلات والتتبع وحماية CSRF وتخصيص المحتوى وتوزيع الإعلانات وما إلى ذلك في السنوات الأخيرة، لاحظنا أن المخادعين بدأوا في استخدام عنوان Referer بعد تشغيل إعلانات Facebook و Instagram باستخدام عناوين URL المخادعة. تقوم مواقع التصيد الاحتيالي هذه بفحص رأس المرجع لتحديد ما إذا كان المستخدم يصل إلى الموقع من إحدى منصات الوسائط الاجتماعية هذه أو بشكل مباشر. إذا وصل المستخدم إلى عنوان URL الاحتيالي مباشرةً، فلن تعرض الصفحة أي محتوى. الأمر نفسه ينطبق على محركات فحص الأمان - إذا كان عنوان المرجع مفقودًا، تظل صفحة التصيد الاحتيالي غير مكتشفة.
التصفية القائمة على المعلمات
التصفية المستندة إلى المعلمات هي تقنية يقوم فيها بعض المنطق من ملف البرنامج بالتحقق من صحة معلمات URL الواردة (سلاسل الاستعلام أو الرموز المميزة أو المعرفات) قبل عرض محتوى التصيد الفعلي. يستخدم المخادعون هذه الطريقة لإخفاء الصفحات الضارة من الماسحات الأمنية والتأكد من أن الضحايا المستهدفين فقط يمكنهم الوصول إليها. تساعد هذه التقنية على منع الماسحات الأمنية من فحص محتوى التصيد الاحتيالي مباشرةً وضمان حصول الضحايا فقط على صفحة التصيد الاحتيالي. تساعد هذه الطريقة روابط التصيد الاحتيالي على البقاء نشطة لفترة أطول من الوقت ما لم يتم الإبلاغ عنها من قبل الضحية.
مثال على عناوين URL ذات المعلمات
https://phishingsite.com/login?session=abc123
https://phishingsite.com/?session=abc123
لاحظنا مؤخرًا أنه بالإضافة إلى إساءة استخدام روابط التصيد الاحتيالي ذات المعلمات، يستغل المحتالون ميزة URI الكلاسيكية التي تسمح للمستخدمين بالوصول إلى مواقع الويب المحمية بكلمة مرور من خلال تضمين بيانات الاعتماد في عنوان URL قبل الرمز «@». يتبع هذا التنسيق:
ومع ذلك، حتى إذا كان موقع الويب لا يتطلب المصادقة، فإن إدخال أي بيانات اعتماد عشوائية بهذا التنسيق لا يزال يعيد توجيه الموقع وتحميله دون أي مشكلة. يستفيد المحتالون من هذا السلوك من خلال صياغة عناوين URL المخادعة مثل:
للوهلة الأولى، قد يفترض الضحايا أنهم يزورون موقع realsite.com، ولكن نظرًا لكيفية تفسير المتصفحات لعنوان URL، تتم إعادة توجيهها فعليًا إلى موقع fakesite.com—صفحة التصيد الاحتيالي. تستغل هذه التقنية ثقة المستخدم وثبت أنها خادعة للغاية، مما يجعلها حملات تصيد فعالة ويتم توزيعها عبر WhatsApp.
على سبيل المثال، ينتحل نطاق التصيد الاحتيالي mangokl [.] com شخصية Mango، وهي شركة إسبانية لبيع الأزياء السريعة بالتجزئة. يمكن للمهاجم إنشاء رابط تصيد مخادع مثل:https://shop.mango.com@mangokl[.]com
قد يثق المستخدم المطمئن، الذي يرى «shop.mango.com» المألوف في بداية عنوان URL، عن طريق الخطأ في الرابط ويستمر في تسجيل الدخول دون تردد - غير مدرك أنه تتم إعادة توجيهه بالفعل إلى موقع التصيد الاحتيالي.
اكتشاف مواقع التصيد هذه على نطاق واسع
غالبًا ما تعاني آليات الكشف التقليدية من محاولات التصيد الاحتيالي التي تستخدم تقنيات التهرب مثل السياج الجغرافي وتصفية وكيل المستخدم وتصفية رأس المرجع والتصفية القائمة على المعلمات. للتغلب على هذه التحديات، تستخدم منصة xvGIL الخاصة بـ CloudSek وحدة Fake Domain Finder (FDF). تم تصميم هذه الوحدة لتجاوز السياج الجغرافي باستخدام عناوين IP متنوعة وبروكسيات من مناطق مختلفة، مما يضمن الوصول إلى المواقع المقيدة. كما أنه يحاكي وكلاء المستخدم المختلفين لاكتشاف محاولات التصيد الاحتيالي التي تستهدف أجهزة معينة. بالإضافة إلى ذلك، تحاكي وحدة FDF العديد من رؤوس المراجع للكشف عن المواقع التي تعتمد على طريقة التصفية هذه. علاوة على ذلك، فإنه يحلل عناوين URL ذات المعلمات، بما في ذلك تلك التي تحتوي على بيانات اعتماد مضمنة، لتحديد صفحات التصيد المخفية. يعمل فريق CloudSek Threat Research باستمرار على تحسين قدرات وحدة FDF وتحديث قوائم الوكلاء وسلاسل وكيل المستخدم ورؤوس المراجع ومنطق تحليل عناوين URL للبقاء في طليعة أساليب التصيد المتطورة. يسمح هذا النهج الشامل لـ CloudSek بالكشف الفعال عن حملات التصيد الاحتيالي المعقدة التي تفوتها الماسحات الضوئية التقليدية.
المراجع
- https://www.cloudsek.com/blog/unmasking-cyber-deception-the-rise-of-generic-phishing-pages-targeting-multiple-brands
