غيوم تحمل جانبًا مشرقًا لمجرمي الإنترنت: المنصات الموثوقة أصبحت بؤرًا للتصيد

تبدأ بنقرة: موظف، واثق أنه على موقع موثوق تابع لمايكروسوفت أو غوغل، يُدخل بيانات اعتماده. لكن خلف الواجهة المألوفة ذات العلامة السحابية، يكمن تهديد. في موجة متنامية من الجرائم السيبرانية، يُحوِّل المهاجمون المنصات ذاتها التي تعتمد عليها الشركات إلى أسلحة - محولين السحابة إلى خط مواجهة جديد لهجمات التصيد التي يصعب رصدها، ويصعب إيقافها أكثر.

حقائق سريعة

• أصبحت مجموعات التصيد تُخفى عادةً على منصات سحابية ومنصات CDN موثوقة مثل Google وMicrosoft وCloudflare.
• تعجز أدوات الأمن التقليدية عن اكتشاف هذه الهجمات، إذ تبدو النطاقات والشهادات شرعية.
• يستهدف المهاجمون بشكل متزايد مستخدمي المؤسسات، فيستبعدون حسابات البريد الشخصي ويركزون على بيانات اعتماد الشركات.
• يكشف تحليل الساندبوكس السلوكي هذه التهديدات في أقل من دقيقة - أسرع بكثير من التحقيق اليدوي.
• أفادت فرق الأمن التي تستخدم الساندبوكس بتحقيق فرز أسرع بنسبة تصل إلى 94% وتقليلًا كبيرًا للإيجابيات الكاذبة.

الوجه الجديد للتصيد: عندما تنقلب السحابة

التصيد ليس جديدًا، لكن الأساليب تتطور بوتيرة مذهلة. ووفقًا لأبحاث ANY.RUN، لم يعد المهاجمون يكتفون بنطاقات عابرة أو مزودي استضافة مشبوهين. بدلًا من ذلك، يدمجون مجموعات التصيد داخل خدمات سحابية ذات سمعة طيبة - مثل Azure Blob Storage وGoogle Sites وFirebase وAWS CloudFront - حيث تكون مرشحات الأمان أقل ريبة ويخفض المستخدمون حذرهم.

هذا التحول قلب معادلة الاكتشاف رأسًا على عقب. سابقًا، كان المدافعون يعتمدون على إشارات تحذيرية مثل النطاقات الحديثة أو الاستضافة غير المعتادة. أما الآن، ومع صفحات تصيد تتنكر كمحتوى شرعي مستضاف على السحابة، تختفي تلك الإشارات. ترى أنظمة الأمن حركة مرور أعمال طبيعية، وشهادات TLS صالحة، وروابط URL تستوفي كل معايير الموثوقية.

ما حجم المخاطر؟ أعلى بكثير. غالبًا ما تستبعد هذه الحملات نطاقات البريد المجانية، مستهدفةً فقط حسابات المؤسسات عبر صفحات تسجيل دخول مزيفة مقنعة - وأحيانًا تُحاكي Microsoft 365 لخداع الموظفين كي يسلموا بيانات اعتماد الشركة. ما إن ينقر المستخدم، حتى تُغلق نافذة الاكتشاف بسرعة: يمكن سرقة بيانات الاعتماد، واختطاف الحسابات، ويحصل المهاجمون على موطئ قدم للاحتيال في الفواتير أو للاختراق الداخلي قبل أن تُطلق الإنذارات أصلًا.

كيف يمكن للمدافعين الرد؟ تُظهر تحليلات ANY.RUN أن الساندبوكس السلوكي - تشغيل الهجوم في بيئة مُحكَمة - يخترق الضباب. خلال ثوانٍ، تُكشف عمليات إعادة التوجيه المشبوهة، وحصاد بيانات الاعتماد، والتدفقات الخبيثة، حتى عندما تكون مستضافة على نطاقات سحابية “آمنة”. وتمنح التفاعلية المؤتمتة والسياق المدعوم بالذكاء الاصطناعي المحللين أدلة قابلة للتنفيذ، ما يقلص زمن التحقيق ويخفض الالتباس.

بالنسبة لفرق الأمن، الأثر التشغيلي واضح: زمن استجابة أسرع، وتصعيدات أقل، وثقة أكبر في الأحكام. ومع ازدياد ذكاء حملات التصيد، يجب أن تتطور دفاعاتنا أيضًا - بالاعتماد ليس فقط على السمعة، بل على السلوك الفعلي، لكشف التهديدات المختبئة في ظل السحابة.

الخلاصة: ثق، لكن تحقّق - حتى في السحابة

بينما يستغل مجرمو الإنترنت الثقة التي نضعها في كبار مزودي الخدمات السحابية، تواجه المؤسسات حقيقة صادمة: لا يوجد نطاق ذو سمعة عالية بما يكفي ليكون بمنأى عن إساءة الاستخدام. قد يأتي تهديد التصيد التالي ليس من رابط مريب، بل من المنصات ذاتها التي تُشغّل حياتنا الرقمية. اليقظة، والتحليل السلوكي، وجرعة صحية من الشك ضرورية - لأن ليس كل شيء في سحابة اليوم كما يبدو.

WIKICROOK

• مجموعة التصيد: مجموعة التصيد هي حزمة من الأدوات الجاهزة التي تتيح للمجرمين إنشاء مواقع مزيفة بسرعة وسرقة معلومات المستخدم الحساسة.
• CDN (شبكة توصيل المحتوى): شبكة CDN هي شبكة من الخوادم تخزن محتوى المواقع في مواقع متعددة لتقديمه للمستخدمين بسرعة أكبر وبشكل أكثر أمانًا.
• تحليل الساندبوكس: تحليل الساندبوكس هو عملية اختبار الملفات أو الروابط المشبوهة في بيئة آمنة ومعزولة لمراقبة سلوكها بأمان واكتشاف التهديدات.
• شهادة TLS: شهادة TLS هي هوية رقمية تتحقق من هوية موقع الويب وتشفّر البيانات، ما يحمي المعلومات المتبادلة بين المستخدمين والموقع.
• حصاد بيانات الاعتماد: حصاد بيانات الاعتماد هو سرقة تفاصيل تسجيل الدخول، مثل أسماء المستخدمين وكلمات المرور، غالبًا عبر مواقع مزيفة أو رسائل بريد خادعة.