الجزء الأول: حملة تصيد احتيالي باستخدام Cloudflare Workers

حذر باحثو الأمن السيبراني من العديد من حملات التصيد الاحتيالي التي تستغل Cloudflare Workers لجمع بيانات اعتماد المستخدم. تستهدف مواقع التصيد هذه مستخدمي الخدمات مثل Microsoft وGmail وYahoo! وcPanel Webmail.

هنا، استخدم المهاجم تقنية تسمى "الخصم في المنتصف" ( AitM ). لتنفيذ الهجوم، يستخدم المهاجم Cloudflare Workers كخادم وسيط وهمي. عندما يقوم المستخدم بزيارة صفحة تسجيل دخول شرعية، يقوم Cloudflare Workers باعتراض البيانات وإرسالها بين المستخدم وصفحة تسجيل الدخول الحقيقية.

في الأساس، سيتم تنفيذ هذا الهجوم من خلال الخطوات الأربع التالية:

• الخطوة 1: يرسل المخترق رسالة بريد إلكتروني احتيالية إلى المستخدم

يقوم المهاجمون بإرسال رسائل تصيدية عبر البريد الإلكتروني تحتوي على روابط لمواقع ويب مزيفة. قد يكون هذا البريد الإلكتروني ينتحل شخصية مصدر موثوق ويحتوي على رسالة تقنع المستخدم بالنقر فوق رابط.

• الخطوة 2: ينقر المستخدم على البريد الإلكتروني، ويتم إعادة توجيهه إلى موقع ويب للتصيد الاحتيالي عبر Cloudflare

يتلقى المستخدم البريد الإلكتروني وينقر على الرابط الموجود في البريد الإلكتروني، مما ينقله إلى موقع ويب مزيف. يتم استضافة هذا الموقع على Cloudflare Workers، لذا تمر طلبات المستخدم عبر Cloudflare Workers.

• الخطوة 3: يقوم Cloudflare بإعادة توجيه طلب المستخدم إلى موقع الويب الشرعي

عندما يقوم المستخدم بإدخال معلومات تسجيل الدخول الخاصة به في الموقع المزيف، يقوم Cloudflare Workers بالتقاط معلومات تسجيل الدخول (بما في ذلك اسم المستخدم وكلمة المرور وكود المصادقة الثنائية، إذا لزم الأمر). ثم يقوم عمال Cloudflare بإعادة توجيه هذا الطلب إلى موقع الويب الشرعي. لا يزال بإمكان المستخدمين تسجيل الدخول إلى الموقع الشرعي دون ملاحظة الفرق.

• الخطوة 4: يقوم Cloudflare بتسجيل معلومات المستخدم وإرسالها إلى المتسللين

يقوم Cloudflare Workers بتسجيل معلومات تسجيل الدخول للمستخدم وإرسالها إلى المهاجم. يمكن للمهاجم بعد ذلك استخدام هذه المعلومات للوصول إلى حساب المستخدم وتنفيذ إجراءات ضارة.

الجزء الثاني: تقنيات تهريب HTML واستراتيجيات جمع بيانات الاعتماد

تهريب HTML هو أسلوب هجوم متطور يستخدمه المهاجمون لإنشاء صفحات احتيالية خفية مباشرة على متصفح المستخدم.

بشكل أساسي، يتم تنفيذ هجوم تهريب HTML في خمس خطوات رئيسية:

• الخطوة 1: يرسل المهاجم رسالة بريد إلكتروني احتيالية

يقوم المهاجم بإنشاء رسالة بريد إلكتروني احتيالية، متظاهرًا بأنها من مصدر موثوق مثل منظمة أو خدمة يستخدمها الضحية بانتظام. يحتوي هذا البريد الإلكتروني على رابط ضار أو مرفق HTML. غالبًا ما يتضمن محتوى البريد الإلكتروني رسالة مقنعة أو عاجلة تهدف إلى إغراء الضحية بفتح رابط أو مرفق، مثل إشعار حول حساب مقفل أو مستند مهم يجب عرضه على الفور.

• الخطوة 2: يتلقى المستخدم البريد الإلكتروني ويفتح الرابط/المرفق

يتلقى المستخدم رسالة بريد إلكتروني احتيالية، ويقوم دون علمه بالنقر على رابط أو فتح مرفق HTML. وبذلك، سيقوم متصفح المستخدم بتحميل وتنفيذ تعليمات برمجية JavaScript ضارة موجودة في ملف HTML أو الرابط. تم تصميم هذا الكود ليعمل مباشرة في متصفح المستخدم دون الحاجة إلى تنزيل أي برامج إضافية.

• الخطوة 3: يقوم كود JavaScript بإنشاء صفحة تصيد مباشرة على متصفح المستخدم

يقوم كود JavaScript الخبيث تلقائيًا بإنشاء صفحة تصيد ويعرضها على متصفح المستخدم. غالبًا ما تبدو صفحة التصيد الاحتيالي هذه مشابهة جدًا لصفحة تسجيل الدخول المشروعة لخدمة عبر الإنترنت مثل Microsoft أو Gmail أو أي خدمة أخرى يستخدمها الضحية عادةً. وهذا يجعل الضحية لا يدرك أنه موجود على موقع مزيف.

• الخطوة 4: يقوم المستخدم بإدخال معلومات تسجيل الدخول إلى موقع التصيد الاحتيالي

بدون الشك في أي شيء، يقوم المستخدم بإدخال بيانات تسجيل الدخول الخاصة به إلى موقع التصيد الاحتيالي. يتضمن ذلك اسم المستخدم وكلمة المرور وربما رمز المصادقة الثنائية (MFA) إذا لزم الأمر. تم تصميم موقع الاحتيال لتسجيل كل هذه المعلومات بشكل سري.

• الخطوة 5: يتم إرسال معلومات تسجيل الدخول إلى خادم المخترق

عندما يقوم المستخدم بإدخال معلومات تسجيل الدخول الخاصة به على صفحة التصيد الاحتيالي، يقوم كود JavaScript الخبيث بإرسال هذه المعلومات إلى خادم المخترق. يتيح هذا للمهاجم جمع بيانات تسجيل الدخول الخاصة بالضحية، بما في ذلك اسم المستخدم وكلمة المرور وكود المصادقة الثنائية. باستخدام هذه المعلومات، يمكن للمهاجم الوصول بشكل غير مصرح به إلى حساب الضحية.

الجزء 3: توصيات المستخدم بشأن الاحتياطات

لحماية أنفسهم من الهجمات الإلكترونية المتطورة بشكل متزايد كما ذكرنا أعلاه، يحتاج المستخدمون إلى اتخاذ بعض الاحتياطات لتقليل المخاطر. وفيما يلي بعض التوصيات الهامة:

• رفع مستوى الوعي بالأمن السيبراني

في البيئة الرقمية الحالية، تتطور أساليب الهجوم السيبراني باستمرار وتصبح أكثر تعقيدًا. لذلك، من المهم للغاية تحديث المعرفة بانتظام حول أحدث تهديدات الأمن السيبراني. ينبغي للمستخدمين مراقبة مصادر المعلومات الموثوقة والمحدثة بشكل استباقي لفهم المخاطر ومعرفة كيفية منعها.

• استخدم المصادقة الثنائية (2FA):

تضيف المصادقة الثنائية طبقة إضافية من الأمان. حتى لو حصل المهاجم على معلومات تسجيل الدخول الخاصة بك، فسيظل بحاجة إلى رمز مصادقة ثانٍ للوصول إلى حسابك.

• تأكد دائمًا قبل اتخاذ أي إجراء

تأكد من جميع المرفقات والروابط قبل النقر عليها.

فكر جيدا قبل النقر!!!

• استخدم برنامج مكافحة الفيروسات

تتمتع برامج مكافحة الفيروسات بالقدرة على فحص واكتشاف أنواع مختلفة من البرامج الضارة مثل الفيروسات وأحصنة طروادة وبرامج الفدية وبرامج التجسس والتهديدات الأخرى. عند اكتشافه، فإنه يقوم بإزالة البرامج الضارة أو حجرها لحماية نظامك.

في عصرنا الرقمي الحالي، أصبحت الهجمات الإلكترونية أكثر تطوراً وصعوبة في اكتشافها. من المهم فهم حملات التصيد الاحتيالي التي تستخدم Cloudflare Workers وHTML Smuggling والحماية منها. لحماية أنفسهم، يحتاج المستخدمون إلى تحديث معلوماتهم حول الأمن السيبراني بشكل منتظم، واستخدام مدير كلمات المرور، وتثبيت برنامج مكافحة الفيروسات، وتطبيق المصادقة الثنائية. ولا تساعد هذه التدابير على حماية المعلومات الشخصية فحسب، بل تساهم أيضًا في تحسين الأمن السيبراني للمجتمع بأكمله.

— إدارة الأمن العام —