الجزء الأول: حملة الاحتيال على موظفي كلاود فلير
حذّر باحثون في مجال الأمن السيبراني من عدة حملات تصيّد إلكتروني تستغلّ ثغرات Cloudflare Workers لجمع بيانات اعتماد تسجيل دخول المستخدمين. تستهدف هذه المواقع الإلكترونية مستخدمي خدمات مثل مايكروسوفت، وجيميل، وياهو، وcPanel Webmail.
استخدم المهاجم هنا تقنية تُعرف باسم " الخصم في المنتصف " (AitM). ولتنفيذ الهجوم، استخدم المهاجم خوادم Cloudflare Workers كخادم وسيط وهمي. فعندما يصل المستخدم إلى صفحة تسجيل دخول شرعية، تعترض خوادم Cloudflare Workers البيانات وتُعيد توجيهها بين المستخدم وصفحة تسجيل الدخول الحقيقية.
باختصار، سيحدث هذا النوع من الهجوم من خلال الخطوات الأربع التالية:
- الخطوة الأولى: يقوم المخترق بإرسال رسائل بريد إلكتروني تصيدية إلى المستخدم.
يرسل المهاجمون رسائل بريد إلكتروني تصيدية تحتوي على روابط لمواقع ويب مزيفة. قد تُزوَّر هذه الرسائل من مصدر موثوق وتحتوي على رسائل تحث المستخدمين على النقر على الرابط.
- الخطوة الثانية: ينقر المستخدم على البريد الإلكتروني ويتم إعادة توجيهه إلى موقع ويب للتصيد الاحتيالي يمر عبر Cloudflare.
يتلقى المستخدمون رسائل بريد إلكتروني وينقرون على روابط بداخلها، مما يقودهم إلى موقع ويب مزيف. هذا الموقع مُستضاف على خوادم Cloudflare Workers، لذا تمر طلبات المستخدمين عبر هذه الخوادم.
- الخطوة 3: يقوم Cloudflare بإعادة توجيه طلب المستخدم إلى الموقع الإلكتروني الشرعي.
عندما يُدخل المستخدم بيانات تسجيل الدخول على موقع ويب مزيف، يقوم Cloudflare Workers بتسجيل هذه البيانات (بما في ذلك اسم المستخدم وكلمة المرور ورمز المصادقة الثنائية إن وُجد). ثم يُعيد Cloudflare Workers توجيه هذا الطلب إلى الموقع الإلكتروني الأصلي. ويظل بإمكان المستخدمين تسجيل الدخول إلى الموقع الأصلي دون ملاحظة أي فرق.
- الخطوة الرابعة: يقوم Cloudflare بتسجيل معلومات المستخدم وإرسالها إلى المخترق.
تقوم خدمة Cloudflare Workers بتسجيل معلومات تسجيل دخول المستخدم وإرسالها إلى المهاجم. يمكن للمهاجم بعد ذلك استخدام هذه المعلومات للوصول إلى حساب المستخدم وتنفيذ أعمال ضارة.
الجزء الثاني: تقنية تهريب HTML واستراتيجيات جمع معلومات تسجيل الدخول
تهريب HTML هو أسلوب هجوم متطور يستخدمه المهاجمون لإنشاء صفحات تصيد احتيالي خلسة مباشرة في متصفح المستخدم.
باختصار، تتكشف عملية تهريب HTML في الخطوات الرئيسية الخمس التالية:
- الخطوة الأولى: يقوم المهاجم بإرسال بريد إلكتروني للتصيد الاحتيالي.
يقوم المهاجم بإنشاء بريد إلكتروني تصيدي، منتحلاً صفة جهة موثوقة كمنظمة أو خدمة يستخدمها الضحية بشكل متكرر. يحتوي هذا البريد الإلكتروني على رابط خبيث أو مرفق بتنسيق HTML. غالباً ما يتضمن محتوى البريد الإلكتروني رسالة مقنعة أو عاجلة مصممة لإغراء الضحية بفتح الرابط أو المرفق، مثل إشعار بقفل حساب أو مستند مهم يتطلب اهتماماً فورياً.
- الخطوة الثانية: يتلقى المستخدم البريد الإلكتروني ويفتح الرابط/المرفق.
يتلقى المستخدمون رسائل بريد إلكتروني تصيدية، وينقرون دون وعي على الرابط أو يفتحون المرفق بتنسيق HTML. عندئذٍ، يقوم متصفحهم بتحميل وتنفيذ شيفرة جافا سكريبت الخبيثة الموجودة في ملف HTML أو الرابط. صُممت هذه الشيفرة لتعمل مباشرةً في متصفح المستخدم دون الحاجة إلى تنزيل أي برامج إضافية.
- الخطوة 3: يقوم كود جافا سكريبت بإنشاء صفحة التصيد الاحتيالي مباشرة في متصفح المستخدم.
يقوم كود جافا سكريبت خبيث بإنشاء صفحة تصيد احتيالي تلقائيًا وعرضها في متصفح المستخدم. غالبًا ما تبدو هذه الصفحة مشابهة جدًا لصفحة تسجيل الدخول الأصلية لخدمة إلكترونية مثل مايكروسوفت أو جيميل أو أي خدمة أخرى يستخدمها الضحية بانتظام. هذا يمنع الضحية من إدراك أنه على صفحة مزيفة.
- الخطوة الرابعة: يقوم المستخدم بإدخال معلومات تسجيل الدخول الخاصة به في صفحة التصيد الاحتيالي.
لا شك أن المستخدمين يُدخلون بيانات تسجيل الدخول الخاصة بهم في موقع التصيد الاحتيالي. ويشمل ذلك أسماء المستخدمين وكلمات المرور، وربما رموز المصادقة الثنائية (MFA) إذا طُلب منهم ذلك. وقد صُمم موقع التصيد الاحتيالي لتسجيل كل هذه المعلومات سرًا.
- الخطوة 5: يتم إرسال معلومات تسجيل الدخول إلى خادم المخترق.
عندما يُدخل المستخدم بيانات تسجيل الدخول الخاصة به على موقع تصيّد احتيالي، يقوم كود جافا سكريبت خبيث بإرسال هذه البيانات إلى خادم المخترق. يسمح هذا للمهاجم بجمع بيانات اعتماد تسجيل دخول الضحية، بما في ذلك اسم المستخدم وكلمة المرور ورمز المصادقة الثنائية. باستخدام هذه المعلومات، يستطيع المهاجم الوصول غير المصرح به إلى حساب الضحية.
الجزء الثالث: توصيات للمستخدمين بشأن التدابير الوقائية
لحماية أنفسهم من أساليب الهجمات الإلكترونية المتطورة والمتزايدة كما ذكرنا سابقًا، يحتاج المستخدمون إلى اتخاذ عدة تدابير وقائية لتقليل المخاطر. إليكم بعض التوصيات المهمة:
- رفع مستوى الوعي حول الأمن السيبراني
في بيئة اليوم الرقمية، تتطور أساليب الهجمات الإلكترونية باستمرار وتزداد تعقيدًا. لذا، يُعدّ تحديث المعلومات بانتظام حول أحدث التهديدات الإلكترونية أمرًا بالغ الأهمية. ينبغي على المستخدمين متابعة مصادر المعلومات الموثوقة والمحدثة باستمرار لفهم المخاطر ومعرفة كيفية الوقاية منها.
- استخدام المصادقة الثنائية (2FA):
تُضيف المصادقة الثنائية طبقة أمان إضافية. فحتى لو تمكن المهاجم من الحصول على بيانات تسجيل الدخول الخاصة بك، فسيظل بحاجة إلى رمز تحقق ثانٍ للوصول إلى حسابك.
- تحقق دائمًا وتأكد قبل اتخاذ أي إجراء.
يرجى التحقق بعناية من جميع المرفقات والروابط قبل النقر عليها.
فكّر جيداً قبل النقر على زر الفأرة!!!
- استخدم برنامج مكافحة الفيروسات.
يستطيع برنامج مكافحة الفيروسات فحص واكتشاف أنواع مختلفة من البرامج الضارة، مثل الفيروسات، وبرامج التجسس، وبرامج الفدية، وغيرها من التهديدات. وعند اكتشافها، يقوم البرنامج بإزالتها أو عزلها لحماية نظامك.
في عصرنا الرقمي، تتطور أساليب الهجمات الإلكترونية وتزداد صعوبة اكتشافها. لذا، يُعدّ فهم حملات التصيّد الاحتيالي باستخدام تقنيات مثل Cloudflare Workers وHTML Smuggling ومنعها أمرًا بالغ الأهمية. ولحماية أنفسهم، يحتاج المستخدمون إلى تحديث معلوماتهم في مجال الأمن السيبراني بانتظام، واستخدام برامج إدارة كلمات المرور، وتثبيت برامج مكافحة الفيروسات، وتفعيل المصادقة الثنائية. لا تُسهم هذه الإجراءات في حماية المعلومات الشخصية فحسب، بل تُعزز أيضًا الأمن السيبراني للمجتمع ككل.
— أعدتها لجنة الأمن والنظام —
المصدر: https://www.misa.vn/147167/giai-ma-cac-chien-thuat-tan-cong-phishing-hien-dai-tu-cloudflare-workers-den-html-smuggling/
تعليق (0)