منذ منتصف يونيو 2024، ابتكر مجرمو الإنترنت طرقًا جديدة لاستغلال تقنيات أمان البريد الإلكتروني، وتحديدًا ميزة إعادة كتابة الروابط (URL rewriting) المصممة لحماية المستخدمين من الروابط الخبيثة. 

بحسب “cybersecuritynews”،  تقوم هذه الميزة، التي تستخدمها العديد من منصات الأمان، بتعديل الروابط في رسائل البريد الإلكتروني، بحيث يتم توجيه المستخدم أولاً إلى خوادم الأمان للمسح قبل الوصول إلى المحتوى.

آليات إعادة كتابة الروابط: الحماية تتطور

تقسم حلول إعادة كتابة الروابط إلى نوعين:

الحلول القديمة: تعتمد على قواعد وتواقيع تستند إلى تهديدات معروفة مسبقًا.

الحلول الحديثة: تستعين برؤية الكمبيوتر وخوارزميات التعلم الآلي لمسح الروابط في الوقت الفعلي.

وجد باحثو الأمن في Perception Point أن بعض المنظمات تعتمد على مزيج من الحلين، مما يؤدي أحيانًا إلى “إعادة كتابة مزدوجة” للروابط، وهي إحدى النقاط التي يستغلها القراصنة.

كيف يتم تنفيذ الهجمات

يقوم المهاجمون بدراسة آليات إعادة كتابة الروابط وبدأوا باستخدامها لتنفيذ حملات التصيد من خلال خطوات مثل:

اختراق حساب بريد إلكتروني شرعي محمي بميزة إعادة كتابة الروابط.

إرسال رابط نظيف إلى بريدهم الخاص، ليمر عبر إعادة الكتابة.

تحويل الرابط المعاد كتابته إلى موقع تصيد بعد تمريره عبر طبقة الأمان.

هذا الأسلوب خطير لأنه يستغل ثقة المستخدمين في علامات الأمان المعروفة، مما يجعلهم أكثر عرضة للنقر على الروابط.

أمثلة على هجمات متطورة باستخدام إعادة كتابة الروابط

هجوم إعادة الكتابة المزدوجة: استخدم هجوم يجمع بين Proofpoint وINKY رابط تصيد بواجهة تشبه إشعارات SharePoint، كما استخدم تقنية CAPTCHA لتجنب التحليل التلقائي.

الاستغلال المتعدد: بعد اختراق منظمة محمية بـ INKY وProofpoint، تم إنشاء رابط معاد كتابته واستغلاله لاستهداف منظمات أخرى.

استغلال Mimecast: استخدم مجرمو الإنترنت خدمة إعادة كتابة الروابط من Mimecast لتوجيه المستخدمين إلى موقع لسرقة بيانات تسجيل الدخول.

التصيد باسم مصلحة الضرائب الأمريكية عبر Sophos: قاد هذا الهجوم المستخدمين إلى رابط تصيد بواجهة مقلدة للـ IRS باستخدام خدمة Sophos.

التدابير الأمنية المتقدمة لمواجهة الهجمات المتطورة

للتصدي لهذه التهديدات المتطورة، تم اعتماد تقنيات مثل تحليل الروابط الديناميكي من Perception Point، والتي توفر:

كشف استباقي بمسح الروابط في الوقت الفعلي قبل تسليم الرسائل.

قدرات مضادة للتلاعب لتجاوز تكتيكات مثل CAPTCHA والجغرافيا.

تحليل ما بعد التسليم لرصد التهديدات المتطورة.

إضافات أمنية على مستوى المتصفح لحماية إضافية.

الختام: ضرورة تبني حلول أمان متعددة الطبقات

مع تطور تقنيات التصيد، من الضروري للمؤسسات والأفراد البقاء على اطلاع بآخر أساليب الهجمات وتطبيق حلول أمان متعددة الطبقات للحماية من تهديدات الإنترنت المتزايدة التعقيد.