شهدت ساحة التهديدات السيبرانية تحولاً جذرياً، حيث أصبحت النطاقات المتوقفة (parked domains) سلاحاً أساسياً لنشر البرمجيات الخبيثة والاحتيال وهجمات التصيد الاحتيالي على مستخدمي الإنترنت المطمئنين.
ما كان يُعتبر في السابق ممارسة بريئة لتحقيق الدخل من النطاقات، تحول الآن إلى ناقل هجوم خطير يخفي محتوى خبيثاً خلف واجهة ظاهرياً بريئة.
وتُظهر الأبحاث الحديثة أن المخاطر المرتبطة بالنطاقات المتوقفة قد نمت بشكل كبير خلال العقد الماضي، مما غيّر الطرق التي يجب على المتخصصين في الأمن التعامل بها مع التهديدات المستندة إلى النطاقات.
يُشار إلى النطاقات المتوقفة بأنها عناوين ويب غير نشطة لا تحتوي على مواقع ويب فعلية. تقليدياً، يستفيد مالكو النطاقات من هذه الأصول غير المستخدمة من خلال خدمات ركن تعتمد على عرض الإعلانات للزوار.
ومع ذلك، فإن إدخال إعلانات البحث المباشر، والمعروفة أيضاً باسم “الركن بدون نقرة”، قد خلق نظاماً بيئياً معقداً يتم فيه إعادة توجيه الزوار تلقائياً بناءً على خصائص أجهزتهم وموقعهم وسلوكهم التصفحي.
وتم تصميم هذه الميزة لتقديم محتوى ملائم، لكنها أصبحت بدلاً من ذلك آلية لتوزيع البرمجيات الخبيثة وشن عمليات احتيال واسعة النطاق.
الهجوم على النطاقات المتوقفة: واقع جديد
يبدأ الهجوم عندما يزور المستخدمون عن طريق الخطأ نطاقات مشابهة جداً لطريق كتابة أخطاء إملائية بسيطة. فقد لاحظ أحد الباحثين أنه أثناء محاولته زيارة مركز الشكاوى الجنائية عبر الإنترنت التابع لمكتب التحقيقات الفيدرالي، تم توجيهه عن طريق الخطأ إلى ic3.org بدلاً من ic3.gov، ليجد نفسه أمام صفحة وهمية تدعي انتهاء صلاحية اشتراك Drive.
ويُمثل هذا السيناريو مجرد غيض من فيض، حيث تقوم الجهات الفاعلة الخبيثة الآن بتسجيل هذه النطاقات المتعمدة واستخدامها كسلاح، لا سيما تلك التي يزيد عددها عن آلاف النطاقات.
وكشف محللو Infoblox أن المحتوى الخبيث يظهر الآن في أكثر من 90% من الزيارات للنطاقات المتوقفة، مقارنة بأقل من 5% في الدراسات السابقة التي أجريت قبل أكثر من عقد.
تعمل البنية التحتية التقنية التي تقود هذه الهجمات من خلال آليات متطورة لتحديد بصمات الزوار.
عندما يصل المستخدمون إلى نطاق متوقف، يتعرضون لعملية بصمة خفيفة تجمع معلومات عن الجهاز، وبيانات الموقع الجغرافي، وخصائص المتصفح. وتحدد هذه البيانات ما إذا كان الزائر سيعاد توجيهه إلى صفحة ركن حميدة أو إلى محتوى خبيث.
عادةً ما تواجه برامج الفحص الأمني المشروعة ومستخدمو شبكات VPN صفحات غير ضارة. وعلى النقيض من ذلك، يتم توجيه المستخدمين الحقيقيين من عناوين IP السكنية عبر أنظمة توزيع حركة المرور التي تديرها شبكات الإعلانات، مما يؤدي إلى طبقات متعددة من إعادة التوجيه قبل الوصول إلى المحتوى الخبيث.
بصمات الأجهزة وتوزيع حركة المرور
يقوم نظام تحديد الهوية بجمع معلومات شاملة عن الجهاز من خلال تنفيذ JavaScript. ويتضمن ذلك أبعاد الشاشة، ونسب البكسل، وقدرات WebGL، وميزات الصوت، وتوفر التخزين، وتفاصيل الاتصال بالشبكة.
وقد قام أحد الجهات التابعة لمنصة الإعلانات ExplorAds بتنفيذ نص برمجي متطور لتحديد بصمات الأصابع يتضمن تعليقات باللغة الروسية، والتي أرسلت بيانات الجهاز المشفرة بـ Base64 إلى نظام توزيع حركة المرور الخاص بها.
هذا المستوى من التطور التقني يكشف عن عملية مُدارة بشكل احترافي وليس مجرد إساءة استخدام عشوائية. ويعمل ثلاثة من كبار مالكي النطاقات الكبيرة الآن على تشغيل هذه الأنظمة البيئية الخبيثة.
ويسيطر أحد الجهات الفاعلة على ما يقرب من 3000 نطاق مشابه، عبر خوادم أسماء مخصصة، بما في ذلك Gmail.com، وهو نطاق شبيه بحساب Gmail ويُستخدم حاليًا في حملات التصيد الاحتيالي مع مرفقات برمجيات خبيثة من نوع Trojan.
ويستخدم طرف آخر تقنيات “fast-flux” المزدوجة مع خوادم أسماء دوارة، مثل koaladns.com و quokkadns.com.
ويمتلك طرف ثالث نطاق domaincntrol.com، الذي يختلف عن نطاق GoDaddy الشرعي domaincntrol.com بحرف واحد ويستهدف أكثر من 30,000 نطاق تم تكوينها بشكل خاطئ.
لقد خلق التقاء الذكاء الاصطناعي التوليدي، والاستيلاء على النطاقات المنتهية الصلاحية، والنطاقات الخاضعة لتسجيل متعمد، نظاماً بيئياً يستغل فيه المجرمون الأخطاء البسيطة للمستخدمين. وفي الوقت نفسه، تكافح فرق الأمن لتحديد هذه التهديدات ومنعها.