التصدي لهجمات التصيد الإلكتروني للمحلل الأمني
ما هو التصيد الإلكتروني؟
التصيد الإلكتروني هو نوع من الهجمات السيبرانية يستخدمه المهاجمون لخداع الأفراد للحصول على معلومات حساسة مثل أسماء المستخدمين وكلمات المرور ومعلومات بطاقات الائتمان.
كيف يتم التصيد الإلكتروني؟
- رسائل البريد الإلكتروني المزيفة: يقوم المهاجمون بإرسال رسائل بريد إلكتروني تبدو وكأنها من مؤسسات موثوقة، مثل البنوك أو الشركات الكبيرة. تحتوي هذه الرسائل على روابط أو طلبات للقيام بإجراءات معينة.
- مواقع تسجيل الدخول المزيفة: ينشئ المهاجمون صفحات ويب تبدو مشابهة للمواقع الشرعية، مثل صفحات تسجيل الدخول للبنوك أو خدمات البريد الإلكتروني. عندما يقوم المستخدمون بإدخال معلوماتهم، يتم سرقتها.
- المرفقات الضارة: تحتوي رسائل البريد الإلكتروني على مرفقات تبدو شرعية، مثل مستندات PDF أو ملفات Excel. عند فتح هذه الملفات، يتم تنزيل برمجيات خبيثة (Malware) على جهاز المستخدم، مما يتيح للمهاجمين الوصول إلى النظام.
أنواع التصيد الإلكتروني
- التصيد التقليدي (Phishing): رسائل بريد إلكتروني مزيفة تُرسل إلى العديد من الأشخاص في محاولة لجمع معلومات حساسة مثل أسماء المستخدمين وكلمات المرور من خلال روابط أو مرفقات ضارة.
- التصيد المستهدف (Spear Phishing): هجوم موجه إلى فرد أو مجموعة معينة، حيث يتم تخصيص الرسالة لتبدو وكأنها من مصدر موثوق يعرفه الضحية، مثل زميل في العمل أو جهة رسمية.
- التصيد عبر الهاتف (Vishing): يستخدم المهاجمون المكالمات الهاتفية لتوجيه الضحايا للكشف عن معلومات حساسة، مثل أرقام بطاقات الائتمان أو بيانات تسجيل الدخول.
- التصيد عبر الرسائل النصية (Smishing): يرسل المهاجمون رسائل نصية قصيرة (SMS) تحتوي على روابط أو مرفقات ضارة تهدف إلى سرقة معلومات شخصية.
- التصيد عبر الوسائط الاجتماعية (Social Media Phishing): يتم استخدام منصات التواصل الاجتماعي للتواصل مع الأفراد بطرق تبدو طبيعية لجمع معلومات حساسة أو نشر روابط خبيثة.
- التصيد عبر المواقع المزيفة (Pharming): يستهدف هذا النوع من التصيد توجيه المستخدمين إلى مواقع ويب مزيفة بطريقة خفية، دون أن يدركوا أنهم ليسوا على الموقع الأصلي. يتم ذلك عن طريق تعديل إعدادات DNS أو استغلال ثغرات في المتصفحات أو الشبكات. عندما يدخل المستخدمون معلوماتهم الشخصية على هذه المواقع المزيفة، يتم سرقتها واستغلاله.
لماذا يفضل المهاجمون التصيد الإلكتروني لاختراق الأفراد والمؤسسات؟
يفضل المهاجمون استخدام التصيد الإلكتروني (Phishing) لاختراق الأفراد والمؤسسات لأسباب عدة:
- تكلفة منخفضة: مقارنةً بالأساليب الأخرى، التصيد الإلكتروني يتطلب موارد أقل للتنفيذ، مما يجعله خيارًا جذابًا للمهاجمين.
- سهولة التنفيذ: يمكن تنفيذ هجمات التصيد بسهولة عبر البريد الإلكتروني أو وسائل التواصل الاجتماعي، وتخصيص الرسائل لتبدو موثوقة ومقنعة.
- تجاوز الدفاعات التقنية: التصيد يمكن أن يتجاوز الدفاعات التقنية مثل برامج مكافحة الفيروسات والجدران النارية، حيث يعتمد على خداع الأفراد بدلاً من استغلال الثغرات التقنية.
- الانتشار السريع والانتشار الواسع: التصيد الإلكتروني يمكن أن ينتشر بسرعة عبر البريد الإلكتروني ووسائل التواصل الاجتماعي، مما يتيح للمهاجمين الوصول إلى عدد كبير من الضحايا المحتملين بسهولة.
وفقًا لإطار عمل MITRE ATT&CK، تُعتبر هجمات التصيد الإلكتروني (Phishing Attacks) من أكثر الأساليب شيوعًا التي يستخدمها المهاجمون للحصول على الوصول الأولي (Initial Access). MITRE ATT&CK هو إطار عمل يوضح التكتيكات والأساليب التي يعتمدها المهاجمون لاختراق الأنظمة وتنفيذ الهجمات، بدءًا من الحصول على الوصول الأولي إلى البيانات وحتى السيطرة الكاملة على الأنظمة. يُستخدم هذا الإطار لفهم وتحليل الهجمات الأمنية وتطوير استراتيجيات دفاعية فعالة.
في الجزء الأول، هنتعلم أساسيات عن البريد الإلكتروني:
- بروتوكولات البريد الإلكتروني
- تدفق البريد الإلكتروني
- تحليل رؤوس البريد الإلكتروني
- تقنيات الأمان DMARC وDKIM وSPF
في الجزء الثاني، هنحل تحدي عن تحليل رسائل التصيد الإلكتروني
البروتوكولات المستخدمة في البريد الإلكتروني
- بروتوكول SMTP (Simple Mail Transfer Protocol) مسؤول عن إرسال رسائل البريد الإلكتروني من العميل إلى الخادم أو بين الخوادم. في برنامج Wireshark، ستشاهد حركة مرور SMTP عبر بروتوكول TCP، على المنفذ 25 للاتصالات غير المشفرة، وعلى المنافذ 465 أو 587 للاتصالات الآمنة (SSL/TLS). ستتضمن حزم البيانات الملتقطة أوامر SMTP مثل HELO وMAIL FROM وRCPT TO وDATA. إذا كانت الاتصال غير مشفر، ستتمكن من رؤية محتوى البريد الإلكتروني، بما في ذلك العناوين والجسم والمرفقات، بشكل نص عادي داخل الحمولة الخاصة بالحزمة.
- بروتوكول IMAP (Internet Message Access Protocol) يسمح للمستخدم بالوصول إلى رسائل البريد الإلكتروني وإدارتها على الخادم. يقوم Wireshark بالتقاط حركة مرور IMAP على المنفذ 143 للاتصالات غير المشفرة أو المنفذ 993 للاتصالات المشفرة (SSL/TLS). ستعرض الحزم أوامر IMAP مثل LOGIN وSELECT وFETCH وLOGOUT. إذا كانت الاتصال غير مشفر، يمكنك رؤية محتوى البريد الإلكتروني، بما في ذلك العناوين وجسم الرسالة والمرفقات، كجزء من الحمولة الخاصة بالحزم.
- بروتوكول POP (Post Office Protocol) يُستخدم لتنزيل رسائل البريد الإلكتروني من الخادم إلى جهاز محلي. سيقوم Wireshark بالتقاط حركة مرور POP عبر بروتوكول TCP، على المنفذ 110 للاتصالات غير المشفرة أو المنفذ 995 للاتصالات المشفرة. ستتكون حركة المرور من أوامر POP مثل USER وPASS وRETR وQUIT. وكما هو الحال في IMAP، سيكون محتوى البريد الإلكتروني مرئيًا في الحمولة الخاصة بالحزمة للجلسات غير المشفرة.
تخيل أنك تستخدم تطبيق بريد إلكتروني مثل Outlook أو Gmail عند إرسال رسالة يقوم التطبيق بإرسالها من جهازك إلى خادم البريد الإلكتروني، ثم إلى خادم المستلم باستخدام SMTP. إذا كنت تستخدم بروتوكول POP3 لاستلام الرسائل، يتم تنزيل الرسائل على جهازك وحذفها من الخادم، مما يمنع الوصول إليها من أجهزة أخرى. أما إذا كنت تستخدم بروتوكول IMAP، يمكنك قراءة الرسائل مباشرة على الخادم، مما يتيح لك الوصول إليها من أي جهاز دون الحاجة إلى تنزيلها بالكامل.
تدفق البريد الإلكتروني (Email Flow)
- MUA (Mail User Agent) :هذا هو عميل البريد الإلكتروني مثل Outlook أو Gmail الذي يستخدمه المستخدم لإرسال واستقبال الرسائل.
- MSA (Mail Submission Agent) :بعد إرسال الرسالة من الـMUA، يستلمها خادم MSA، يتأكد من تنسيقها بشكل صحيح، ثم يوجهها إلى خادم الـMTAيعمل هذا الخادم عادة على المنافذ 587 أو 465.
- MTA (Mail Transfer Agent) :خادم الـMTA هو المسؤول عن نقل الرسائل بين خوادم البريد الإلكتروني المختلفة. يبحث عن سجل MX الخاص بالنطاق المستلم ويوجه البريد الإلكتروني بناءً عليه.
- MX (Mail Exchange) :سجلات DNS التي تحدد خوادم البريد المسؤولة عن استقبال الرسائل لنطاق معين.
- MDA (Mail Delivery Agent) :خادم الـMDA هو المسؤول عن تسليم الرسائل الواردة إلى صندوق بريد المستلم.
تحليل رؤوس البريد الإلكتروني (Email Header Analysis)
رؤوس البريد الإلكتروني تحتوي على معلومات مهمة عن مصدر الرسالة، مسارها، وأصالتها. تحليل هذه الرؤوس يمكن أن يساعد في اكتشاف رسائل التصيد الإلكتروني(phishing) ، البريد المزعج(spam) .
الحقول الأساسية في البريد الإلكتروني:
- From عنوان البريد الإلكتروني للمرسل.
- To عنوان البريد الإلكتروني للمستلم.
- Subject موضوع البريد الإلكتروني.
- Date تاريخ ووقت إرسال البريد الإلكتروني.
- References يستخدم لتتبع سلسلة المحادثات. يحتوي على معرفات الرسائل السابقة التي يتم الرد عليها، مما يساعد في تنظيم الرسائل في سلسلة واحدة.
- Message-ID معرف فريد للرسالة.
- Received هذا السطر يسجل كل خادم بريد تعامل مع الرسالة خلال رحلتها من مرسلها إلى مستلمها. يتضمن سجل Received معلومات عن كل خادم عبره مرّت الرسالة، مثل عنوان IP، التاريخ والوقت الذي استلمت فيه الرسالة، وكذلك عنوان الخادم الذي أرسل الرسالة إلى الخادم التالي. تساعد هذه المعلومات في تتبع مسار الرسالة وتحديد مصدرها ومكان مرورها عبر شبكة البريد الإلكتروني.
- Reply-To عنوان البريد الإلكتروني الذي يجب إرسال الردود إليه.
- Return-Path العنوان الذي يجب إرسال الأخطاء والرسائل المرتدة إليه.
- Content-Type نوع المحتوى في جسم البريد الإلكتروني.
- X-Originating-IP عنوان IP للجهاز الذي أرسل البريد الإلكتروني
- Authentication header نتائج فحوصات التحقق من الهوية DMARC و SPF و DKIM سوف نشرحهم بالتفصيل.
ابحث عن أي حقل Header في البريد الإلكتروني لم يُذكر وتعرف على فائدته وكيفية الاستفادة منه. على سبيل المثال، حقل Cc يحتوي على قائمة بجميع المستلمين الذين سيحصلون على نسخة من الرسالة.
تقنيات الأمان DMARC و DKIM و SPF
يساعد نظام التعرف على هوية المرسل SPF وDKIM وDMARC في مصادقة مرسلي البريد الإلكتروني من خلال التحقق من أن رسائل البريد الإلكتروني جاءت من النطاق الذي يدعون أنهم منه. تعد طرق المصادقة الثلاثة هذه مهمة لمنع البريد العشوائي وهجمات التصيد الاحتيالي ومخاطر أمان البريد الإلكتروني الأخرى.
- SPF (Sender Policy Framework)
- بروتوكول يسمح للمرسل بتحديد عناوين IP المسموح لها بإرسال رسائل بريد إلكتروني باسم نطاقه. على سبيل المثال، إذا حاول شخص إرسال رسالة ويزعم أنها من نطاق معين، ولكن عنوان IP الخاص به ليس ضمن القائمة المسموح بها، يمكن لخادم البريد حظر الرسالة.
-
مثال: إذا كان نطاقك هو
example.com
، يمكنك إعداد SPF في DNS ليكون:v=spf1 ip4:192.168.0.1 -all
هذا يعني أن فقط الخادم بعنوان IP
192.168.0.1
مسموح له بإرسال البريد باسم نطاقك، وأي خادم آخر سيتم رفض رسائله.
- DKIM (Domain Keys Identified Mail)
- طريقة للتحقق من هوية البريد الإلكتروني مصممة لمنع تزوير عناوين البريد الإلكتروني للمرسلين. يضيف DKIM توقيعًا رقميًا إلى الرسالة التي يمكن للمستلمين التحقق منها باستخدام مفتاح عام موجود في سجل DNS الخاص بالنطاق. إذا تطابق التوقيع مع البيانات المُستلمة، يُؤكد أن الرسالة لم تُعدل وأنها صادرة بالفعل من النطاق المذكور.
-
مثال: عند إرسال بريد من
example.com
، يضاف إلى الرأس:DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; bh=base64hashvalue; b=signaturehashvalue
هذا التوقيع يؤكد للمستلم أن الرسالة أصلية ولم يتم تعديلها.
- DMARC (Domain-based Message Authentication Reporting and Conformance)
- بروتوكول يتيح لأصحاب النطاق حماية نطاقهم من الاستخدام غير المصرح به ومنع تزوير البريد الإلكتروني. يوجه DMARC المستلمين حول كيفية التعامل مع الرسائل التي تفشل في فحوصات SPF و DKIM، ويقدم تقارير عن نتائج التحقق. يعمل DMARC مع SPFو DKIM لضمان أن الرسائل تأتي من مصادر موثوقة وتحسين حماية البريد الإلكتروني من التزوير.
-
مثال: لنفترض أن نطاقك هو
example.com
يمكنك إعداد سجل DMARC كالتالي:v=DMARC1; p=reject; rua=mailto:[email protected]
p=reject: يعني رفض أي رسالة تفشل في فحوصات SPF وDKIM.
rua=mailto:[email protected]: تحديد عنوان البريد الإلكتروني لتلقي التقارير.
هذا يساعد في منع استخدام نطاقك لإرسال رسائل بريد إلكتروني احتيالية.
تعرض الصورة نتائج عمليات التحقق من مصادقة البريد الإلكتروني في رأس نتائج المصادقة. فيما يلي شرح موجز لكل نتيجة:
- dkim=pass: الرسالة اجتازت فحص DKIM، مما يعني أن التوقيع الرقمي في الرسالة تم التحقق منه بنجاح ويطابق المفتاح العام للنطاق المرسل.
- spf=pass: الرسالة اجتازت فحص SPF، مما يعني أن عنوان IP المرسل معتمد من قبل النطاق لإرسال الرسائل.
- dmarc=pass: الرسالة اجتازت فحص DMARC، مما يعني أن الرسالة تتوافق مع سياسات النطاق (اجتياز SPF وDKIM)، وتؤكد أنها غير مزورة.
التحقيق في رسائل البريد الإلكتروني الاحتيالية (Phishing Emails)
في هذا الصورة خطوات يمكنك اتباعها اسثناء التحقق في phishing emails
تقنيات تحليل البريد الإلكتروني:
- تأكد من أصالة المرسل:
- تحقق من تطابق حقل "From" مع حقل "Return-Path" يساعد هذا في التأكد من أن البريد الإلكتروني مرسل من عنوان موثوق وليس عنوانًا مزيفًا.
- استخدم أدوات مثل
dig
أوnslookup
أو موقع MXToolbox للتحقق من سجلات DNS الخاصة بالمرسل والتأكد من أصالته.
- تحليل رؤوس :Received
- ابحث عن خوادم البريد المشبوهة أو غير المعروفة في رؤوس "Received" يمكن أن تكشف هذه الخطوة عن الرسائل التي تم إرسالها عبر خوادم غير موثوقة أو خوادم بروكسي.
- تأكد من نتائج التحقق:
- تحقق من نتائج فحوصات SPF و DKIM و DMARC لضمان أصالة البريد الإلكتروني. إذا فشلت أي من هذه الفحوصات، فقد يكون البريد مزيفًا أو مرسلاً من جهة غير معروفة.
- تحليل محتوى البريد:
- ابحث عن الكلمات أو العبارات التي قد تشير إلى بريد احتيالي أو مزعج، مثل "عاجل" أو "مطلوب الإجراء فورًا"، وأي روابط تبدو غير موثوقة.
- تحقق من جسم البريد والمرفقات للبحث عن محتوى مشبوه أو روابط ضارة. احذر من المرفقات غير المتوقعة والروابط التي تطلب معلومات شخصية أو تحميل برامج.
- استخدم أدوات مثل AnyRun و urlscan و VirusTotal لتحليل الروابط والمرفقات بشكل آمن.
التحدي الأول: بريد إلكتروني يحتوي على هجوم تصيد (phishing) سنقوم بتحليله
سوف نستخدم أداة https://app.phishtool.com لتحليل البريد الإلكتروني عبر الإنترنت. قم برفع الملف وابدأ التحليل.
1. المحتوى: يشير موضوع البريد الإلكتروني إلى طلب أمازون لم يقدمه المستلم، وهو تكتيك شائع يستخدم في التصيد الاحتيالي لحث المستلم على النقر فوق رابط أو تنزيل مرفق.
2. مجال المرسل: البريد الإلكتروني يدعي أنه من Amazon.co.uk، لكن عنوان المرسل هو [email protected]، وهو غير مرتبط بأمازون. عنوان IP للمرسل هو 71.10.27.121 و RDNS هو syn-071-010-027-121.res.spectrum.com. هذا التناقض يعد من أساليب التصيد الاحتيالي الشائعة التي يقع فيها غير المتخصصين بسبب عدم القراءة الجيدة أو الفحص الدقيق. يجب دائمًا التحقق من عنوان المرسل وعنوان IP لتجنب الوقوع في فخ التصيد.
3. المصادقة: فشلت عمليات التحقق من SPF وDKIM وDMARC عادةً ما تجتاز رسائل البريد الإلكتروني المشروعة من أمازون هذه الفحوصات
4. الرؤوس المستلمةReceived lines : يبدو أن البريد الإلكتروني قد مرّ عبر عدة خوادم لا علاقة لها بأمازون.
5. يطلب البريد الإلكتروني من المستلم، إذا لم يكن قد قام بعملية الشراء الأخيرة، الضغط على الرابط لإلغاء الطلب واسترداد الأموال: "http://id820update.refundsys59.co.uk/invoice103amz/[email protected]". ومع ذلك، يبدو أن الرابط مشبوه بسبب العوامل التالية: استخدام بروتوكول HTTP بدلاً من HTTPS، النطاق الفرعي غير المألوف "id820update"، النطاق الأساسي غير الموثوق "refundsys59.co.uk"، وجود مسار يشير إلى Amazon بشكل مريب، وتضمين البريد الإلكتروني للمستخدم مما يدل على محاولة تصيد احتيالي. قد يؤدي هذا الرابط إلى تحويل أموال من حساب "jack" دون علاقة بـ Amazon. يُفضل استخدام أدوات مثل URLScan أو VirusTotal للتحقق من صحة الرابط.
استنادًا إلى كل الدلائل، من الواضح أن هذا البريد الإلكتروني هو عملية تصيد احتيالي (phishing) بشكل مؤكد. يجب عليك اتخاذ إجراءات فورية، مثل حذف البريد الإلكتروني وحظر المرسل، بالإضافة إلى حظر النطاق (domain) وعناوين IP المرتبطة به.
التحدي الثاني : سوف نحل SOC114 - Malicious Attachment Detected - Phishing Alert من منصه Letsdefend
الخطوة الأولى هي "تحليل البريد الإلكتروني" وجمع المعلومات حول الرسالة الواردة.
- تم تفعيل الإنذار كإنذار عالي الخطورة في الساعة 15:48 (3:48 مساءً) يوم 31 يونيو 2021.
- عنوان بروتوكول SMTP للمرسل هو "49.234.43.39"
- تم إرسال البريد الإلكتروني الذي أدى إلى الإنذار من [email protected] إلى [email protected] ويحتوي على موضوع "الفاتورة"
- بما أن الإجراء على الجهاز يُظهر أنه "مسموح"، فهذا يعني أن البريد وصل إلى المستخدم.
استنادًا إلى محتوى الإنذار، يبدو أن رسالة بريد إلكتروني تحتوي على مرفق خبيث قد وصلت إلى المستخدم الداخلي. لذلك، من الضروري فحص البريد الإلكتروني المعني بشكل عاجل واتخاذ الإجراءات اللازمة.
أولاً، سأقوم بالتحقق من نطاق carleton.ca لمعرفة ما إذا كان المرسل يستخدم أسلوب التزوير.
بما أن عنوان SMTP الذي ظهر في نتيجة فحص MX Lookup لا يتطابق مع عنوان IP للمرسل، فهذا قد يشير إلى وجود عملية تزوير. سأبحث عن عنوان SMTP (49.234.43.39) الذي ظهر في التنبيه باستخدام VirusTotal. النطاق الأصلي المستخدم لإرسال البريد carleton.ca له سمعة جيدة وهو تابع لجامعة كارلتون وفقًا لمعلومات WHOIS. لكن يبدو أن عنوان SMTP (49.234.43.39) قد استُخدم لإرسال بريد زائف لخداع المستلم من البريد الإلكتروني [email protected] كما وجدنا أن هذا العنوان مرتبط بشنزن في الصين، وأن Fortinet قد صنفه كعنوان ضار.
محتوي الايميل
يوجد ملف مضغوط واحد c9ad9506bccccfaa987ff9f9fc11b91698d، يدعي المرسل أنه يحتوي على فاتورة تسويق. قمت بتنزيل الملف المضغوط المرفق وإجراء تحليل عبر الإنترنت باستخدام AnyRun أو VirusTotal
الملف المضغوط بصيغة zip يحتوي على ملف xlsx، وكلمة مرور الملف هي "infected".
عند فتح ملف Excel الخبيث في بيئة معزولة (Sandbox) مثل AnyRun ، يبدأ تشغيل عملية ثانوية باسم EQNEDT32.exe، وهي أداة Microsoft Equation Editor التي تُستخدم لإدراج معادلات رياضية في مستندات Office. من خلال عملية EQNEDT32.exe، يتم فتح عملية ثانوية أخرى باسم ntvdm.exe. يمكن ملاحظة أن ملف exe آخر يتم تشغيله بعد تنفيذ MS Excel، وهذا ليس سلوكًا طبيعيًا لملف Excel شرعي. أداة AnyRun حددت هذه الملفات تلقائيًا كملفات خبيثة بنسبة 100%. يظهر أن هذا برنامج خبيث يستغل الثغرة الأمنية "CVE-2017-11882"، حيث يقوم ntvdm.exe بتنفيذ التعليمات البرمجية عن بُعد.
بالإضافة إلى ذلك، يمكننا رؤية جميع عناوين الاتصال من قسم IOC.
يمكن الآن التوجه الي ERD لمراجعة نشاط الجهاز المستلم والتحقق من السجلات للبحث باستخدام مؤشرات الاختراق (IOCs) لمعرفة ما إذا كان هناك جهاز آخر قد استلم هذا البريد الإلكتروني. يجب اتخاذ إجراءات فورية مثل عزل الجهاز، حذف البريد الإلكتروني، وحظر جميع مؤشرات الاختراق في الأجهزة الأمنية مثل جدار الحماية (Firewall)
الخاتمة:
هكذا قد تعرفنا معًا على رسائل التصيد الإلكتروني وأنواعها، واستعرضنا بروتوكولات البريد الإلكتروني، وتحليل رؤوس الرسائل، وتقنيات الأمان مثل DMARC، DKIM، وSPF، مع التركيز على كيفية تطبيق هذه المعرفة في تحقيقات فريق الدفاع. كما قمنا بتطبيق عملي على حالات تصيد باستخدام الروابط (URL Phishing) والمرفقات (Attachment Phishing). نأمل أن تكون قد استفدت. شاركنا تعليقك بما تحتاجه من مواضيع أخرى.
اللهم أنصر إخوننا في فلسطين، وارفع عنهم الظلم، وأمنحهم القوة والصبر، واجعل النصر قريبًا لهم