تواصل هجمات التصيّد الإلكتروني تطوّرَها، حيث كشف باحثون عن أسلوبٍ جديدٍ يخرج عن الأنماط التقليدية المعروفة. ووفقاً لتقريرٍ صادرٍ عن Infoblox Threat Intel، يعمد مجرمو الإنترنت إلى استغلال جزءٍ أساسيٍّ من بنيةِ الإنترنت التحتية لتجاوز ضوابط الحماية وتمرير حملاتٍ خبيثةٍ عبر الرسائل المزعجة.

وعلى مدى سنواتٍ، اتبعت هجماتُ التصيّد أساليبَ واتجاهاتٍ يمكن التعرّفُ إليها بسهولةٍ نسبية. إلا أن البحثَ الأخير كشف عن نمطٍ غير مألوف، يتمثّل في استغلال جهاتِ التهديد جزءاً غير معروفٍ على نطاقٍ واسعٍ من فضاءِ أسماءِ النطاقاتِ المخصّصِ للبنيةِ التحتيةِ للإنترنت، وتحديداً نطاقَ المستوى الأعلى .arpa، لاستضافة محتوى احتيالي.

وبخلاف النطاقات الشائعة مثل .com و.net المصمَّمة لاستضافة محتوى الويب، يؤدّي نطاق .arpa وظيفةً تقنيةً ضمن نظام أسماء النطاقات DNS، إذ يُستخدم أساساً لسجلات DNS العكسية التي تربط عناوين IP بأسماء النطاقات، ولم يُصمَّم أصلاً لاستضافة مواقع إلكترونية.

ومع ذلك، اكتشف المهاجمون ثغرةً تتيح لهم استغلال هذا النطاق، إذ تسمح بعضُ مزوّدي خدمات DNS بإضافة سجلاتِ عناوينِ IP إلى نطاقات .arpa عبر أدوات إدارة السجلات. ونتيجةً لذلك، بات بإمكان جهاتِ التهديد استضافةُ محتوى خبيثٍ خلف هذه البنية التحتية. ونظراً لارتباط .arpa بسجلات DNS العكسية لا بالمواقع الإلكترونية، فإن العديد من أدوات الحماية لا تراقبه باعتباره سطحَ تهديدٍ محتملاً.

إضافةً إلى ذلك، يستحوذ المهاجمون على أنفاق IPv6 مجانية، ما يزوّدهم بعددٍ كبيرٍ من عناوين IP لاستخدامها في حملاتهم. وقد صُمّمت أنفاق IPv6 لتمكين حركةِ مرورِ الإنترنت من العبور عبر الشبكات التي لا تزال تعتمد على معدات IPv4 القديمة، إلا أنها تُساء استخدامُها في هذه الحالة لتوسيع نطاق عمليات التصيّد.

وفي هذا السياق، قالت رينيه بيرتون، نائبةُ رئيس Infoblox Threat Intel، إن استغلال نطاق .arpa يعني تسليحَ جوهرِ الإنترنت نفسه. وأضافت أن مساحة DNS العكسية لم تُصمَّم لاستضافة محتوى ويب، ما يجعل معظم أنظمة الدفاع لا تتعامل معها بوصفها مسارَ تهديدٍ محتملاً. وبالتالي، فإن تحويل .arpa إلى آليةٍ لتوصيل هجمات التصيّد يتيح للمهاجمين تجاوزَ الضوابط التقليدية التي تعتمد على سمعة النطاق أو بنية عنوان URL.

وشدّدت على ضرورة أن يبدأ المدافعون في التعامل مع بنية DNS التحتية باعتبارها أصولاً عاليةَ القيمة بالنسبة إلى المهاجمين، مؤكدةً أن توفير رؤيةٍ شاملةٍ لجميع مكونات DNS، بما في ذلك مساحة DNS العكسية، يُعد أمراً أساسياً لرصد الانتهاكات ومنع إساءة الاستخدام.

وتنتحل رسائلُ التصيّد الإلكتروني التي تم رصدُها في هذه الحملات صفةَ علاماتٍ تجاريةٍ كبرى، وتروّج لهدايا مجانية أو جوائز. وغالباً ما تتضمن الرسائل صورةً واحدةً تحتوي على رابطٍ مُضمَّنٍ يقود الضحايا عبر أنظمة توزيع حركة المرور قبل الوصول إلى مواقع احتيالية. وفي الوقت نفسه، لا يكشف الرابطُ الظاهرُ للمستخدم عن سلاسل DNS العكسية غير المعتادة المستندة إلى .arpa، والتي تعمل في الخلفية.

وبشكلٍ عام، تُسلّط هذه النتائج الضوء على أن هجمات التصيّد باتت تستهدف مكوناتٍ مُهمَلةً من بنية الإنترنت التحتية. ومع استمرار جهات التهديد في ابتكار أساليب جديدة، يتعيّن على فرق الأمن توسيع نطاق المراقبة ليتجاوز النطاقات التقليدية، من أجل التصدي لهذه الهجمات المتقدمة.

مقالات ذات صلة

عرض الكل