Netcrook Logo
👤 LOGICFALCON
🗓️ 03 Feb 2026  

مرفقات غير مرئية: كيف يستولي القراصنة على بيانات اعتماد Dropbox عبر ملفات PDF «نظيفة»

العنوان الفرعي: يستخدم مجرمو الإنترنت حِيَل البريد الإلكتروني وملفات PDF الموثوقة لسرقة بيانات تسجيل الدخول إلى Dropbox، متجاوزين حتى أكثر مرشحات الأمان يقظة.

تبدأ القصة برسالة بريد باهتة: طلب توريد، أو مناقصة، أو عقد عمل - لا شيء خارج المألوف. لكن خلف هذا المظهر الممل يختبئ سطو إلكتروني متقن، يستغل ثقتنا بالمرفقات وبالعلامات السحابية المألوفة. وفي تحوير جديد للتصيد الكلاسيكي، يستخدم القراصنة رسائل «نظيفة» تمامًا وملفات PDF تبدو غير مؤذية لانتزاع بيانات اعتماد Dropbox من تحت أنوف المستخدمين.

تشريح هجوم متخفٍّ

تكمن براعة حملة التصيد هذه في ضبط النفس. فبدلًا من تلغيم الرسائل ببرمجيات خبيثة واضحة أو روابط مثيرة للريبة، يصوغ المهاجمون رسائل يمكن أن تمر كاتصال مكتبي اعتيادي. والخدعة في المرفق: ملف PDF يبدو بريئًا، لكنه ليس كذلك.

كشف باحثو الأمن في Forcepoint وX-Labs أن هذه الملفات تُهندَس بأدوات مثل AcroForms وFlateDecode. وبعبارة بسيطة، هذه طرق لإدراج عناصر تفاعلية - مثل أزرار مخفية - داخل ما يبدو وثيقة عادية. وعندما ينقر المستلم، يقوده ملف PDF بهدوء إلى مرحلة ثانية مستضافة على Vercel Blob، وهو مزود تخزين سحابي شرعي. هذا الاستخدام الذكي لبنية تحتية موثوقة يساعد الخدعة على تجاوز دفاعات كانت ستضع عادةً وجهات مشبوهة تحت الراية الحمراء.

المحطة الأخيرة هي صفحة تسجيل دخول Dropbox مزيفة مصممة بعناية. إنها نسخة شبه مثالية، لكن مع التفاف خبيث: أي بيانات تسجيل دخول تُدخل تُلتقط بواسطة سكربت. ولا يكتفي السكربت بأخذ بريدك الإلكتروني وكلمة المرور؛ بل يسجل أيضًا موقعك ونوع جهازك وعنوان IP. وتُمرَّر كل هذه المعلومات الحساسة فورًا إلى قناة Telegram خاصة يسيطر عليها المهاجمون.

ولتفادي إثارة الشك، يعيد الموقع المزيف دائمًا رسالة خطأ، ما يشجع الضحايا على إعادة إدخال بياناتهم بينما يفرّ القراصنة بالغنيمة.

لماذا تفشل الدفاعات؟

عبقرية هذا الهجوم في بساطته. فباستخدام رسائل «نظيفة» وخدمات سحابية موثوقة، تتجاوز الخدعة معظم المرشحات الآلية. غالبًا ما تركز برمجيات الأمن على حجب الروابط المشبوهة أو المرفقات المعروفة بتسليم البرمجيات الخبيثة. هنا، لا يظهر الخطر إلا بعد عدة خطوات، تبدو كل واحدة منها شرعية حتى اللحظة الأخيرة.

ومنذ ذلك الحين حدّثت Forcepoint وسائل الحماية لديها، لكن الحادثة تسلط الضوء على اتجاه متنامٍ: المهاجمون يستغلون ثقتنا بالتنسيقات المألوفة وبالعلامات السحابية المعروفة. وفي عصر تتحرك فيه الأعمال بسرعة البريد الإلكتروني، قد تفتح لحظة غفلة الباب أمام اختراق صامت.

البقاء خطوة إلى الأمام

الدرس واضح: إذا طلبت منك وثيقة عمل بشكل غير متوقع تسجيل الدخول، فتوقف وتحقق. ومع تطور أساليب التصيد، يجب أن يتطور شكّنا أيضًا - حتى عندما يبدو كل شيء «نظيفًا».

WIKICROOK

  • التصيد (Phishing): التصيد جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
  • AcroForms: AcroForms هي نماذج تفاعلية داخل ملفات PDF تتيح إدخال المستخدم مثل النص أو التواقيع. توفر سهولة، لكنها قد تُدخل مخاطر أمنية إذا لم تُدار بشكل صحيح.
  • FlateDecode: FlateDecode هو مُرشِّح ضغط في PDF يقلل حجم الملف، لكنه قد يخفي أيضًا شيفرة خبيثة، ما يجعله مصدر قلق في تحليل المستندات أمنيًا.
  • Vercel Blob: Vercel Blob خدمة تخزين سحابي من Vercel، يُساء استخدامها أحيانًا من قبل المهاجمين لاستضافة ملفات التصيد وتجاوز مرشحات الأمان.
  • بوت Telegram: بوت Telegram برنامج آلي على Telegram يمكنه إرسال الرسائل أو استقبالها، ويُستخدم غالبًا للأتمتة أو من قبل مجرمي الإنترنت لإدارة البرمجيات الخبيثة.
Phishing Dropbox credentials Cybersecurity
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news