أشباح في صندوق الوارد: كيف تتيح رسائل البريد الإلكتروني المُسيَّرة خطأً للقراصنة التنكّر في هيئة مديرك التنفيذي
موجة جديدة من هجمات التصيّد تستغل أخطاء تهيئة توجيه البريد الإلكتروني، ما يمكّن مجرمي الإنترنت من انتحال الاتصالات الداخلية بشكل مقنع وتفريغ خزائن الشركات.
كان صباحَ يومِ اثنينٍ عاديًا حين فتح مديرُ الحسابات في شركة متوسطة الحجم رسالة بريد إلكتروني وُسِمت بأنها عاجلة. بدت الرسالة وكأنها واردة من المدير التنفيذي للشركة نفسها، وتطلب تحويلًا مصرفيًا فوريًا إلى مورّد جديد. كل شيء بدا شرعيًا - حتى عنوان المُرسِل الداخلي وسلسلة الرسائل المألوفة. لكن خلال ساعات، اختفت عشرات الآلاف من الدولارات إلى حساب أنشأه مجرمو الإنترنت. كانت الشركة قد أصبحت أحدث ضحية في سلسلة هجمات تتصاعد بسرعة وتستغل خللًا دقيقًا لكنه مدمّر: سوء تهيئة توجيه البريد الإلكتروني.
داخل الانتحال: كيف يتسلّل القراصنة متجاوزين الدفاعات
في صميم هذه الهجمات مزيجٌ قوي من الإهمال التقني والهندسة الاجتماعية. كثير من المؤسسات، سعيًا وراء مرونة توجيه البريد الإلكتروني أو التكاملات مع جهات خارجية، تُضعف دفاعاتها دون قصد. عندما يُضبط بروتوكول المصادقة والإبلاغ والتوافق القائم على النطاق (DMARC) على “none” بدلًا من “reject”، ويُهيَّأ إطار سياسة المُرسِل (SPF) على “soft fail”، يصبح بإمكان المهاجمين إرسال رسائل تبدو وكأنها صادرة من داخل الشركة. وغالبًا ما تتضخم الحيلة عبر استخدام موصلات جهات خارجية، والتي - إن أسيء إعدادها - تسمح بمرور الرسائل الخبيثة دون اكتشاف.
يستغل الفاعلون التهديديون، بمن فيهم من يستخدمون منصة التصيّد كخدمة Tycoon2FA، هذه الثغرات بكفاءة مقلقة. طُعومهم مُتقنة التخفي: إشعارات بريد صوتي مزيفة، ومشاركات مستندات، وتحديثات موارد بشرية، وتحذيرات بانتهاء صلاحية كلمة المرور. وباستخدام تقنيات الخصم في الوسط (AiTM)، يمكن لهذه الرسائل تجاوز حتى المصادقة متعددة العوامل، والتقاط بيانات تسجيل الدخول ورموز الجلسات في الوقت الحقيقي.
لاحظ فريق استخبارات التهديدات في Microsoft أن الهجمات انتهازية إلى حد كبير، وتستهدف طيفًا واسعًا من القطاعات. وغالبًا ما تتنكر الرسائل الخبيثة في هيئة اتصالات داخلية، مع ضبط حقلي “To” و“From” على عنوان المستلم نفسه. لكن نظرة أدق إلى رؤوس الرسائل تكشف إشارات تحذيرية: عناوين IP خارجية، وفشل فحوصات SPF وDMARC، وأعلام رؤوس مريبة تفضح المصدر الحقيقي للرسالة.
التداعيات المالية
إلى جانب سرقة بيانات الاعتماد، دبّر المهاجمون عمليات احتيال مالية معقدة. تُرسل سلاسل فواتير مزيفة، ونماذج W-9 مقلدة، وخطابات بنكية احتيالية إلى أقسام المالية، وكلها مصممة لخداع الموظفين لتحويل الأموال إلى حسابات يسيطر عليها مجرمون يستخدمون هويات مسروقة. الضرر ليس تقنيًا فحسب - بل مالي ويمس السمعة.
الدفاع عن الحدود الرقمية
يحذّر الخبراء من أن الحل يجمع بين الصرامة التقنية ويقظة المستخدم. سياسات DMARC الصارمة على “reject”، وإعدادات SPF المُحصّنة، والتهيئة الدقيقة لموصلات الجهات الخارجية يمكن أن تسد كثيرًا من الثغرات. كما توصي Microsoft بتمكين ميزات متقدمة مثل الإزالة التلقائية في الساعة صفر (ZAP)، وSafe Links لفحص الروابط في البريد الإلكتروني، والانتقال نحو أساليب مصادقة مقاومة للتصيّد مثل مفاتيح الأمان FIDO2 وWindows Hello for Business. وعند الاشتباه بحدوث اختراق، يكون التحرك السريع - إعادة تعيين بيانات الاعتماد، وإلغاء الجلسات، ومراجعة أجهزة MFA - أمرًا حاسمًا.
الخلاصة: ثق، لكن تحقّق
مع بقاء البريد الإلكتروني شريان الحياة لاتصالات الأعمال، يزداد الخط الفاصل بين الصديق والعدو رقةً يومًا بعد يوم. إن أحدث موجة من هجمات الانتحال تذكير صارخ: في الأمن السيبراني، يجب أن تُكتسب الثقة دائمًا - وأن تُتحقق باستمرار. بالنسبة للمؤسسات، الرسالة واضحة: لا تدع سوء تهيئة بسيط يفتح الباب أمام عمليات احتيال متطورة. قد تكون الأشباح في صندوق واردك أقرب مما تظن.
WIKICROOK
- DMARC: DMARC هو بروتوكول أمني يتحقق مما إذا كانت رسائل البريد الإلكتروني صادرة فعلًا من نطاق المُرسِل، ما يساعد على منع انتحال الهوية وهجمات التصيّد.
- SPF: SPF هو بروتوكول لمصادقة البريد الإلكتروني يساعد على منع الانتحال عبر التحقق من الخوادم المسموح لها بإرسال البريد لنطاقٍ ما.
- Phishing: التصيّد هو جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين لكشف بيانات حساسة أو النقر على روابط خبيثة.
- Adversary: الخصم هو أي شخص أو مجموعة تحاول اختراق أنظمة الحاسوب أو البيانات، غالبًا لأغراض خبيثة مثل السرقة أو التعطيل.
- Zero: ثغرة اليوم الصفري هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعله عالي القيمة وخطيرًا على المهاجمين.
