لنبدأ بإلقاء نظرة عامة أساسية على الرسالة التي تلقيناها

Spam email
البريد الإلكتروني العشوائي
بفضل إعدادات التصفية الصحيحة، تم إرسالها على الفور إلى مجلد البريد العشوائي. ومع ذلك، لا يتم تمكين هذه الإعدادات أو تهيئتها بشكل صحيح في جميع الأنظمة. لذا، لنفترض أن صندوق بريدنا، مثل 60% من صناديق البريد المؤسسية، لا يحتوي عليها أيضًا.

ما يمكننا ملاحظته:
1. دعوة لاتخاذ إجراء. "مطلوب اتخاذ إجراء"
2. التلاعب بـ"الأهمية". "تأخر وصول الرسائل المهمة"
3. التلاعب بهوية المرسل. المرسل هو أيضًا المستلم

تم تزوير هوية المرسل باستخدام رسالة SMTP مخصصة. كما مرت الرسالة عبر خادم وكيل واستخدمت بيانات اعتماد تم اختراقها من مؤسسة تعليمية باكستانية، كما نرى من رؤوس البريد الإلكتروني الأولية:

Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher

0. العرض الأول

لنفتح الرابط الموجود في الرسالة. تحذير: لا تفتح الروابط المشبوهة على أجهزتك — فقد تحتوي على فيروس.

Scam "Mail Portal"
عملية احتيال «بوابة البريد»

كان الرابط بالصيغة التالية: https://****.gitlab.io/#clients@pwn-all.net

لماذا نرى كلمة «GitLab» في الرابط؟

لأن المهاجم استغل قدرة GitLab على استضافة المواقع الثابتة. الاستضافة بحد ذاتها ليست أمراً غير عادي، لكن الثقة المرتبطة بنطاق gitlab.io تساعد في تعزيز عامل الثقة في النطاق وتجاوز مرشحات بعض الأنظمة.

الخطوة 1. دعونا نلقي نظرة

دعونا نلقي نظرة على ما يحدث عندما نضغط على هذا الرابط ولماذا نرى الصفحة الرئيسية لموقعنا (وإن كانت تبدو غير مستقرة بعض الشيء).

Fake mail portal displaying the spoofed company homepage in the background

يمكننا أن نرى أن المهاجم يستخدم خدمات شرعية من أجل:
Google و ClearBit: استرداد أيقونة الموقع (favicon)
Thum: استرداد لقطة شاشة للموقع بعرض 1200 بكسل

ويهدف ذلك في المقام الأول إلى زيادة ثقة المستخدم العادي في موقع ويب مزيف — بحيث يرى شعارًا مألوفًا وموقعًا إلكترونيًا مألوفًا للشركة في الخلفية.

الخطوة 2. إرسال البيانات

لنفترض أننا مستخدم عادي لم ننتبه وأدخلنا معلوماتنا. ماذا يحدث بعد ذلك؟

Outbound network requests triggered after the victim submits their credentials

هنا، يمكننا بالفعل رؤية إشارات إلى خدمات تابعة لأطراف ثالثة مثل:
1. ipinfo — لجمع معلومات حول عنوان IP الخاص بالمستخدم، وتحديدًا: البلد، والمنطقة، والمؤسسة، والموقع التقريبي، والمنطقة الزمنية، والرمز البريدي. على الأرجح، يهدف ذلك إلى تحديد البروكسيات أو شبكات VPN التي سيتم استخدامها لعمليات تسجيل الدخول اللاحقة أو لإعداد بريد إلكتروني لاستخدامه في تكتيك آخر من تكتيكات الهندسة الاجتماعية.
2. Google DNS — للحصول على سجل MX الذي يشير إلى مكان نقطة دخول صندوق البريد. على الأرجح لمحاولة التحقق عبر SMTP
3. في الواقع، يتم إرسال الطلب إلى خادم الويب الخاص بالمهاجم، وليس إلى وكيل.

إذن، ما الذي يتضمنه الحمولة الموجهة إلى خادمه؟

Data payload sent from the phishing page to the attacker's server

إنها في الأساس المجموعة القياسية. لكن... لم يكن الرد من الخادم قياسيًا.

Response
الرد

تضمن الرد المسار إلى المكان الذي تم حفظ البيانات فيه. قد يبدو الأمر وكأنه مزحة، لكنه ليس كذلك.

الخطوة 3. من الداخل

Inside the attacker's collected-data store showing the operator's own test entries

الحماقة المذهلة للمهاجم والحظ المذهل للباحثين. هنا، يمكننا أن نلاحظ على الفور ما يبدو أنه اختبارات أجراها المهاجم بنفسه باستخدام عنوان IP من قبرص. يمكننا أيضًا رؤية منطقته الزمنية، وهي ليست قياسية لعنوان IP قبرصي — وبالتحديد، التوقيت القياسي لغرب إفريقيا. قد يشير هذا نظريًا إلى الموقع الفعلي لمرسل الرسائل غير المرغوب فيها.

Log entry showing a Cyprus IP address paired with a West Africa time zone

حسنًا، أعتقد أننا كنا محظوظين. بعد فحص سجلاته، تمكنا من تحديد عنوان IP متكرر من لاغوس، نيجيريا.

Log entry revealing a recurring IP address from Lagos, Nigeria

ورأينا عنوان IP من نيجيريا مرة أخرى؛ وفي هذه المرحلة، يمكننا على الأرجح القول بثقة إنها كانت تجربة أجراها مرسِل الرسائل غير المرغوب فيها بنفسه.

لسوء الحظ، وقع العديد من الأشخاص ضحية لهذه الحيلة، ومن بينهم موظف في أحد البنوك، ومكتبة، ووكالة عقارات، وغيرهم. يُفترض أن مرسِل الرسائل غير المرغوب فيها كان يقوم بمسح سجلاته. وقد تم إخطار الضحايا ومزودي خدمات الاستضافة بالفعل.

لمساعدتك على تجنب الوقوع في فخ هذه الحيلة، نقدم حلولنا المؤسسية في شكل مكونات إضافية لبرامج البريد الإلكتروني الخاصة بك وخدمات مراقبة اختراق البيانات للمستخدمين من الشركات. هناك أيضًا حل للأفراد يركز على السرية والخصوصية عند البحث عن بياناتهم في التسريبات الصادرة عن سارقي البيانات، أو المواقع المخترقة، أو المنشورات على الشبكة المظلمة (Dark Web) أو Telegram أو Discord عبر أكثر من 600 مصدر. انقر على الرابط لمعرفة المزيد عن DarkWeb Monitor.

الخطوة 4. التوصية

لمنع وصول رسائل البريد الإلكتروني التصيدية المماثلة إلى صناديق بريد المستخدمين، قم بفرض التحقق الصارم من مصداقية المرسل على مستوى بوابة SMTP.

الإجراءات الموصى بها:

  • انشر وحافظ على سجل SPF صارم ينتهي بـ -all.
  • توقيع جميع رسائل البريد الإلكتروني الصادرة باستخدام DKIM.
  • تطبيق DMARC مع سياسة الرفض