تُظهر أحدث التقارير الأمنية تطورًا مقلقًا في أساليب التصيد الاحتيالي، حيث بدأ المحتالون في استغلال ميزة أمنية مصممة لحماية المستخدمين. يستخدم المهاجمون الآن الروابط الآمنة، وهي أدوات دفاعية شائعة، لتوجيه الضحايا نحو مواقع خبيثة، مما يعرض البيانات الحساسة للخطر.
تكشف هذه الاستراتيجية الجديدة عن ثغرة في الأنظمة الأمنية الحالية، حيث يتم التلاعب بآليات إعادة كتابة الروابط، وهي ميزة أساسية في بوابات البريد الإلكتروني للشركات، لتجاوز فلاتر الكشف. ما كان في السابق طبقة حماية موثوقة أصبح الآن أداة للخداع.
استغلال آليات إعادة كتابة الروابط الآمنة
تعمل آلية إعادة كتابة الروابط عبر اعتراض الروابط الموجودة في رسائل البريد الإلكتروني الواردة واستبدالها بروابط مولدة من قبل البائع، والتي توجه المستخدمين عبر خوادم فحص أمني عند النقر عليها. هذه العملية تهدف إلى فحص أي رابط قبل وصول المستخدم إلى وجهته النهائية.
ومع ذلك، يستغل المهاجمون هذه الآلية عبر العمل من خلال حسابات مخترقة حيث تكون إعادة كتابة الروابط نشطة. من خلال ذلك، يتم خداع النظام لإنشاء روابط آمنة “مغلفة مسبقًا” تحمل نطاق بائع موثوق به، ويمكن إعادة استخدامها في حملات تصيد واسعة النطاق.
تطور التكتيكات: من طبقة واحدة إلى سلاسل متعددة
لاحظ محللون في LevelBlue زيادة كبيرة في هذا التكتيك بين الربع الثاني والربع الرابع من عام 2025. فقد انتقل المهاجمون من استغلال طبقة واحدة إلى بناء سلاسل إعادة كتابة روابط متعددة عبر نطاقات بائعين موثوقين.
كان الهدف من ذلك هو إضافة عدد كافٍ من طبقات إعادة التوجيه بحيث لا يمكن لأي ماسح ضوئي آلي تتبع الرابط إلى وجهته الحقيقية. لوحظ هذا النشاط عبر منصات “التصيد كخدمة” (Phishing-as-a-Service)، وتحديداً Tycoon2FA و Sneaky2FA، وكلاهما يستهدف مستخدمي Microsoft 365.
تستخدم كلتا المنصتين بنية “المهاجم في الوسط” (Adversary-in-the-Middle) لاعتراض بيانات الاعتماد وملفات تعريف الارتباط لجلسات المصادقة متعددة العوامل في الوقت الفعلي، مما يتيح الاستيلاء على الحساب دون علم الضحية.
تأثيرات الاستيلاء على الحسابات
بمجرد دخول المهاجمين إلى بيئة مخترقة، يمكنهم التلاعب بقواعد البريد، وإطلاق حملات تصيد داخلية، وسرقة البيانات الحساسة، وفي الحالات الخطيرة، نشر برامج الفدية. تؤكد بيانات النشاط وجود حملات تستخدم ثلاث خدمات إعادة كتابة روابط أو أكثر بدأت في منتصف عام 2025 وبلغت ذروتها في يناير 2026، مما يشير إلى دفع قوي نحو سلاسل إعادة توجيه أعمق.
حتى أوائل عام 2026، لا تزال هذه الحملات نشطة. يشير دمجها في أنظمة “التصيد كخدمة” المتأسسة إلى تهديد مصمم عمدًا للبقاء مختبئًا خلف أدوات الأمان التي تثق بها المؤسسات أكثر من غيرها.
حملات التصيد تستغل الروابط الآمنة
توضح حملة Tycoon2FA كيف يتكشف هذا الهجوم عمليًا. تلقى الضحايا بريدًا إلكترونيًا يحمل طابع طلب مستند، ينتحل صفة Microsoft، ويحتوي على رابط يزيد طوله عن 1200 حرف.
عند النقر عليه، مر الرابط عبر خمس طبقات بائع متتالية – Libraesva، Sophos، Inky، EdgePilot، و Barracuda – قبل الوصول إلى موقع مخترق. هذا الموقع عرض تحدي CAPTCHA لتصفية الأدوات الآلية، وبعد ذلك تم عرض صفحة تسجيل دخول وهمية من Microsoft مصممة لسرقة بيانات الاعتماد.
من جهة أخرى، استهدفت حملة Sneaky2FA شركة محاماة باستخدام مرفق HTML بدلاً من رابط مضمن. داخل الملف، تم تخزين رابط التصيد في متغير يسمى REDIRECT_URL، تم بناؤه مسبقًا بتسلسل إعادة كتابة عبر Barracuda، Sophos، و Cisco.
بعد التوجيه عبر منصة أتمتة تسويق شرعية، انتهت السلسلة بنطاق مسجل حديثًا ينتحل صفة شركة المحاماة، مع ملء عنوان البريد الإلكتروني للضحية مسبقًا في شاشة تسجيل دخول Microsoft احتيالية. كل خطوة في كلتا السلسلتين استخدمت نطاقًا من بائع أمان معترف به، مما يعني أن الماسحات الضوئية الآلية واجهت فقط أسماء موثوقة وتوقفت بشكل روتيني قبل متابعة المسار الكامل – وهذا بالضبط ما اعتمد عليه هؤلاء المهاجمون.
نصائح للمؤسسات والأفراد
يجب على المؤسسات تبني طرق مصادقة متعددة العوامل مقاومة للتصيد، مثل مفاتيح الأمان المادية، لتقليل سرقة ملفات تعريف الارتباط للجلسات حتى عند كشف بيانات الاعتماد.
كما ينبغي لفرق الأمن نشر ضوابط الكشف السلوكي التي تشير إلى رسائل البريد الإلكتروني التي تحتوي على روابط تتسلسل عبر خدمات إعادة كتابة متعددة.
يجب تدريب الموظفين على التشكيك في أي مطالبة مصادقة غير متوقعة، بغض النظر عن مدى ظهور النطاق المحيط. يجب أن تعزز برامج الوعي أن الرابط الذي يحمل علامة تجارية لبائع ما لا يضمن وجهة آمنة. يجب الإبلاغ عن جميع رسائل البريد الإلكتروني المشبوهة إلى فريق الأمان على الفور.