العودة إلى المدونة
دراسات حالة التصيد9 يونيو 20264 دقيقة قراءةOzan İsmail Çolhak

لماذا تنهار القلاع التي تكلف ملايين الدولارات برابط واحد؟ (الجزء الأول)

كيف خسرت جوجل وفيسبوك 120 مليون دولار في حملة تصيد واحدة — وما الذي فاته أدوات الأمان التقليدية.

التصيددراسة حالةجوجلفيسبوكفاي شاركأمان الذكاء الاصطناعي

في صناعة الأمن السيبراني، نعيش جميعًا داخل وهم كبير.

تنفق الشركات ملايين الدولارات، وتنشر أكثر جدران الحماية تقدمًا، وتجزئ شبكاتها، وتبني مراكز عمليات أمنية ضخمة. من الخارج، ترى قلعة مؤسسية لا تُخترق ولا تشوبها شائبة. ولكن بينما تُنفق معظم ميزانيات الأمن السيبراني على البنية التحتية التقنية، لا تزال العديد من الهجمات الناجحة تحدث عبر العامل البشري. وهذا تناقض ضخم تتجنب الصناعة مواجهته في كثير من الأحيان.

فمعظم هذه القلاع التي تكلف ملايين الدولارات تنهار برابط مزيف واحد، أو بريد إلكتروني واحد، أو رمز استجابة سريعة واحد، أو ملف PDF واحد يصل إلى موظف مرهق في نهاية يوم طويل ومزدحم.

ولهذا السبب، لم يعد المهاجمون بحاجة إلى إنفاق كل طاقتهم في اختراق الأنظمة مباشرة. فبدلاً من قضاء أشهر في محاولة اختراق خادم محصّن، أصبح من الأسهل والأرخص والأكثر تدميرًا اختراق ثقة الناس وإرهاقهم ولحظات استعجالهم. وللأسف، فإن أدوات الأمن السيبراني التقليدية عمياء بطبيعتها على هذه الجبهة الجديدة.

لننزل إلى الجبهة الحقيقية للأمن السيبراني. في الجزء الأول من هذه السلسلة المكونة من ثلاثة أجزاء، سنلقي نظرة على كيف تعرضت بعض أكبر شركات العالم للصيد العلني.

النقطة العمياء خلف جدران الحماية المثالية: حالة جوجل وفيسبوك

نحن نتحدث عن عملاقين عالميين يوظفان بعضًا من أفضل مهندسي الأمن السيبراني في العالم ويستخدمان أكثر أنظمة التصفية القائمة على الذكاء الاصطناعي تقدمًا: جوجل وفيسبوك.

استهدف مجرم إلكتروني شركة كوانتا كمبيوتر، وهي شركة كبرى لتصنيع الأجهزة في تايوان كانت تربطها علاقات تجارية بمليارات الدولارات مع كلتا الشركتين. لم يكن هذا بريدًا إلكترونيًا عاديًا يطلب "إعادة تعيين كلمة المرور". فقد أمضى المهاجم أيامًا في تحليل هياكل البريد الإلكتروني المؤسسي للشركات، وقوالب الفواتير الحقيقية، وشروط الدفع، وأسلوب الكتابة، ثم نسخها بشكل شبه مثالي. بعد ذلك، اشترى أسماء نطاقات مزيفة تشبه النطاقات الأصلية لدرجة أنه كان من المستحيل تقريبًا ملاحظة الفرق في حرف واحد بالعين المجردة. ومن خلال هذه النطاقات المزيفة، بدأ في إرسال فواتير احتيالية إلى الموظفين في أقسام المحاسبة.

من منظور الأمن السيبراني، ماذا حدث هنا؟ ولماذا لم يكن من الممكن منع ذلك؟

قامت بوابات البريد الإلكتروني الآمنة التقليدية بفحص هذه الرسائل الواردة. تعمل أدوات أمان الشركات في الغالب بمنطق قائم على التوقيعات والسمعة. لم تكن هناك برمجيات خبيثة معروفة داخل البريد الإلكتروني. كما كانت الروابط داخل الرسائل نطاقات جديدة تمامًا ونظيفة لم تظهر أبدًا في أي قائمة سوداء لاستخبارات التهديدات السيبرانية. نظرت عوامل التصفية في البيانات التاريخية، وقررت أن كل شيء "نظيف"، فوصلت رسائل البريد الإلكتروني أمام الموظفين المشغولين.

وعندما رأى الموظفون تنسيق الفاتورة المألوف من مورد كانوا يتعاملون معه لسنوات، لم يشكوا في شيء. والنتيجة؟ حوّلت جوجل وفيسبوك ما مجموعه 120 مليون دولار إلى الحسابات المصرفية للمهاجم بعد الثقة في رسائل البريد الإلكتروني الخاصة بتلك الفواتير المزيفة.

ما الذي كان سيتغير لو كان فاي شارك موجودًا؟

لو كان لدى هؤلاء الموظفين إضافة متصفح فاي شارك مدمجة في متصفحاتهم أو شبكة البريد الإلكتروني لشركتهم، لما تصرف النظام مثل الأدوات التقليدية واكتفى بالسؤال: "هل هذا الرابط معروف بالفعل في قائمة سوداء؟"

كانت حماية البريد من فاي شارك ووحدة الروابط في الوقت الفعلي ستبدآن في التفكير كمحلل أمن سيبراني في الخلفية خلال أجزاء من الثانية من تفعيل رابط الفاتورة. وكان محلل الذكاء الاصطناعي الوكيلي (AIPA) سيطرح أسئلة مهمة مثل:

  • هذا النطاق تم تسجيله قبل 3 أيام فقط. لماذا ينتحل اسم شركة أجهزة تبلغ قيمتها تريليون دولار؟
  • لماذا لا تتطابق سجلات خادم الإرسال مع سجلات البنية التحتية الحقيقية للعلامة التجارية المنتحلة؟
  • لماذا توجد شذوذات هيكلية في سلسلة إعادة التوجيه؟

حتى لو لم يكن للنطاق أي سجل سمعة، لكان فاي شارك قد اكتشف الهجوم من سلوكه المباشر وهيكل انتحال العلامة التجارية. عندما نقر الموظف على الرابط لدفع الفاتورة، وقبل أن يرفع إصبعه عن الماوس، كانت الإضافة قد تدخلت وحوّلت الشاشة إلى اللون الأحمر وأوقفت المعاملة. وكان ذلك المبلغ البالغ 120 مليون دولار سيبقى داخل الشركة.

لأن أفضل جدار حماية هو ذلك الذي يدمر التهديد في أول جزء من الثانية يظهر فيه على شاشة الموظف.

في الجزء الثاني، سنفحص كيف يمكن لملفات PDF الخبيثة التي تتجاوز عوامل تصفية البريد الإلكتروني التقليدية أن تسقط كبرى الشركات.

ابقَ آمنًا. حمّل فاي شارك.

بالمناسبة، إذا كنت ترغب في مشاركة ملاحظات تقنية حول الإضافة أو التحدث عن أي شيء يتعلق بالأمن السيبراني، يمكنك دائمًا التواصل معي على لينكد إن.

آه، والأجزاء الأخرى قادمة قريبًا — لدينا بعض القصص المجنونة جدًا في الطريق. ترقبوا. :D

مع أطيب التحيات، أوزان.