أظهرت تحليلات فريق Cloudflare لأمن البريد الإلكتروني أن حملات تصيد سيبرانية حديثة قامت باستغلال خاصية إعادة توجيه الروابط عبر خدمات الفحص، وهي إحدى آليات الحماية المعتمدة لدى أنظمة أمن البريد الإلكتروني، لتجاوز أدوات الكشف وتمرير روابط ضارة بشكل غير مكشوف.
وتعمل هذه الآلية على تعديل روابط الرسائل الواردة بحيث تُمرر أولا عبر نطاقات وسيطة تابعة لأنظمة الفحص مثل Proofpoint وIntermedia.net، وذلك بهدف تحليل الوجهة النهائية عند النقر. إلا أن المهاجمين استغلوا التأخير الذي يسبق كشف الصفحة الضارة فعليا، ما أتاح لهم تنفيذ الهجمات قبل تصنيف الرابط كتهديد.
توجيه متسلسل يُعقد عملية الكشف
أظهرت الحملات الموثقة أن المهاجمين استخدموا أسلوب التوجيه المتسلسل، حيث تبدأ الروابط بإعادة التوجيه من خلال عدة نطاقات مؤقتة، يليها تمرير عبر أنظمة الحماية مثل Proofpoint، ثم اختصارها باستخدام خدمات تقصير الروابط، ما يُنتج طبقات متعددة من التمويه تصعب على الأنظمة الأمنية تتبع المسار الكامل للوجهة.
ومن بين نماذج الرسائل المستخدمة في هذه الحملات:
- إشعارات بريد صوتي مزعومة تتضمن زر تشغيل
- تنبيهات غير حقيقية عن رسائل من Microsoft Teams
- إشعارات عن مستندات مزعومة واردة عبر Zix Secure Message
وفي جميع الحالات، تودي هذه الروابط المموهة إلى صفحة تسجيل دخول مزيفة تحاكي واجهة Microsoft 365، بهدف سرقة بيانات اعتماد المستخدمين.
ثقة المستخدم في أنظمة الحماية تتحوّل إلى ثغرة
أوضح التقرير أن المهاجمين يعتمدون على الثقة الراسخة لدى المستخدمين في خدمات الفحص، حيث تُظهر الروابط المعدلة وكأنها خضعت لتحليل أمني مسبق، مما يزيد من معدل النقر. كما أن أنظمة تصفية الرسائل التي تعتمد على تقييم السمعة قد لا تكتشف هذه الروابط، نظرا لأنها تشير إلى نطاقات تابعة لأنظمة موثوقة.
ورغم أن هذا النوع من التمويه ليس جديدا، إلا أن استغلال آليات الحماية الموثوقة في تمويه الروابط الضارة يُعد تطورا لافتا يزيد من تعقيد مهمة الدفاع السيبراني.
خطوات وقائية للحد من المخاطر
أوصى التقرير المؤسسات بعدد من الإجراءات لتحسين مستوى الكشف والاستجابة، أبرزها:
- تدريب المستخدمين على التعرّف على صفحات التصيد حتى بعد مرورهم عبر رابط يبدو موثوقا.
- استخدام أدوات تحليل محتوى متقدمة تتجاوز فحص العنوان أو النطاق فقط.
- توظيف مؤشرات الاختراق والبصمات التقنية الواردة في التقرير لبناء آليات كشف مخصصة.
