كشف تقرير أمني حديث عن انتشار واسع لأدوات التصيد الاحتيالي النشطة، حيث تم تحديد أكثر من 42 ألف رابط ونطاق مستخدمة في عمليات احتيال معقدة.
يشير التقرير إلى تحول كبير في طبيعة هجمات التصيد الاحتيالي، من محاولات فردية عشوائية إلى عمليات منظمة ومهنية.
لم تعد تقنيات التصيد الاحتيالي تعتمد على الأخطاء الإملائية البسيطة أو الرسائل المكتوبة بشكل رديء، بل تتسم الآن بكفاءة تنظيمية تضاهي الشركات التقنية الشرعية.
لقد تغير مشهد التهديدات الأمنية بشكل جذري، ليتحول من هجمات متفرقة إلى مؤسسات إجرامية متكاملة.
تستفيد هذه العمليات من بنية تحتية متطورة، والتزامات قوية بدعم الخدمة، وتقنيات مراوغة تقنية تضاهي مستويات الأمان المؤسسية.
وقد لاحظ محللو الأمن في SicuraNext أن البنية التحتية التي تدعم هذه الحملات تظهر نضجاً تشغيلياً ملحوظاً، مع معدل حل لأسماء النطاقات يزيد عن 96%، مما يدل على استقرار عالٍ وصيانة جيدة للنطاقات الخبيثة.
انتشار أدوات التصيد الاحتيالي النشطة
أظهرت الأبحاث في مجال الأمن السيبراني أن 68% من البنية التحتية المستخدمة في حملات التصيد الاحتيالي النشطة تستفيد من خدمات منصة Cloudflare.
تفصيلاً، تم تحديد 17,202 نطاق خبيث من بين 25,305 نطاق يخضع للمراقبة، وكلها تعمل عبر شبكة Cloudflare.
يعود هذا الاعتماد الكبير إلى أن الطبقة المجانية التي تقدمها Cloudflare توفر لمحتالي التهديدات تكاليف أولية صفرية، بالإضافة إلى حماية عالمية من هجمات الحرمان من الخدمة (DDoS) وخدمات وكيل (Proxy) تخفي فعلياً خوادم الاستضافة الحقيقية.
وبالتالي، أصبحت الآلاف من النطاقات الخبيثة التي تتجمع تحت نظام التشغيل الذاتي AS13335، وهو النظام الأساسي لـ Cloudflare، بمثابة المقر الرئيسي لعمليات التصيد الاحتيالي على مستوى العالم.
تجاوز المصادقة متعددة العوامل (MFA) وتجنب الدفاعات
من أبرز التطورات المقلقة ظهور منصات “التصيد كخدمة” (Phishing-as-a-Service)، مثل EvilProxy و Tycoon 2FA.
على عكس أدوات التصيد التقليدية التي تكتفي بسرقة كلمات المرور، تعمل هذه الخدمات كبرامج وسيطة (adversary-in-the-middle)، تضع نفسها بين الضحايا والخدمات الشرعية.
عندما يقوم المستخدم بالمصادقة، يعترض الجهاز جلسته، ثم يمرر بيانات الاعتماد إلى الخدمة الحقيقية، ويلتقط مفتاح الجلسة الناتج.
هذه الطريقة تتجاوز تماماً إجراءات المصادقة متعددة العوامل.
تتضمن هذه المنصات المتطورة تقنيات متعددة لتجنب الكشف، مثل تحديد الموقع الجغرافي (Geofencing) الذي يحجب الباحثين الأمنيين بناءً على نطاق عناوين IP.
إضافة إلى ذلك، يتم استخدام تقنية إخفاء وكيل المستخدم (User-Agent Cloaking) لتقييد رؤية المحتوى لأنواع محددة من الأجهزة، حيث غالباً ما يتم عرض الصفحات الخبيثة فقط على متصفحات الهواتف المحمولة.
كما أن اكتشاف أدوات المطورين (Developer Tools Detection) يوقف فوراً عمل الصفحات عندما يفتح الباحثون الأمنيون أدوات الفحص.
بالإضافة إلى ذلك، تقوم Cloudflare CAPTCHA بتصفية برامج المسح الأمني الآلية.
وحدد التحليل 20 مجموعة تصيد مميزة تشترك في بصمات بنية تحتية متطابقة، ونطاقات IP متناوبة، ومسجلين متطابقين، وأنماط مراوغة متوافقة، مما يدل على عمليات احترافية ومنسقة بدلاً من هجمات انتهازية.