تتزايد المخاوف الأمنية مع اكتشاف المحتالين لاستغلالهم ثغرات جديدة لشن هجمات التصيد الاحتيالي، حيث بدأ المجرمون السيبرانيون الآن في استغلال ميزات الإشعارات الآلية في منصات البرمجة المعروفة مثل GitHub و Jira لتوصيل رسائل تصيد احتيالي مقنعة.
تكمن خطورة هذا الأسلوب في قدرة المهاجمين على إصدار رسائل تبدو وكأنها تأتي من قنوات رسمية وموثوقة، مما يجعل من الصعب على الأنظمة الأمنية التقليدية اكتشافها وحظرها. وهذا يمثل تحديًا كبيرًا لضمان أمن البيانات.
فبدلاً من استخدام عناوين مرسلة مزيفة أو نطاقات شبيهة، يقوم المهاجمون بإرسال رسائل من البنية التحتية الفعلية لمنصتي GitHub و Atlassian (الشركة المطورة لـ Jira). هذا يعني أن رسائل التصيد هذه تجتاز جميع اختبارات المصادقة القياسية مثل SPF و DKIM و DMARC.
وقد كشف محللو Cisco Talos عن هذا الاتجاه المتنامي في تقرير صدر مؤخرًا، مشيرين إلى أن ذروة نشاط هذه الهجمات بلغت نسبة 2.89% من إجمالي رسائل البريد الإلكتروني الصادرة من بنية GitHub التحتية في يوم واحد. خلال نافذة زمنية مدتها خمسة أيام، شملت حوالي 1.20% من حركة المرور من عنوان “[email protected]” موضوعًا متعلقًا بـ “فاتورة”.
استغلال منصات SaaS: أسلوب جديد في هجمات التصيد الاحتيالي
أطلق باحثو Talos على هذه الطريقة اسم نموذج “المنصة كوكيل” (Platform-as-a-Proxy – PaaP). لا يحتاج المهاجمون في هذا النموذج إلى اختراق أي نظام أو التسلل إلى هذه المنصات، بل يستخدمون ببساطة الميزات الموجودة بالفعل.
يتمثل الهدف الأساسي لهذه الهجمات في سرقة بيانات الاعتماد. يتم إغراء الضحايا بالنقر على روابط أو تنبيهات احتيالية تتعلق بالفواتير، أو أرقام دعم وهمية، أو تحذيرات حساب مضللة. وبمجرد تسليم بيانات تسجيل الدخول، يكتسب المهاجمون نقطة دخول قد تؤدي إلى الوصول غير المصرح به، أو الاستيلاء على الحسابات، أو اختراق أعمق للشبكة.
كيف تعمل هجمات التصيد الاحتيالي عبر إشعارات GitHub و Jira
يبدأ الهجوم على GitHub بإنشاء مستودع. يقوم المهاجم بعد ذلك بدفع “commit” مع حقول رسائل مملوءة بمحتوى هندسة اجتماعية. واجهة “commit” في GitHub تحتوي على منطقتي نص: سطر موجز إلزامي طويل ووصف اختياري أطول.
يضع المهاجم عبارة تحذيرية أو جذابة، مثل فاتورة وهمية أو تنبيه فواتير، في سطر الملخص، ويملأ الوصف المطول برسالة الاحتيال الكاملة، بما في ذلك أرقام هاتف وهمية أو روابط احتيالية. عندما يتم تقديم التغيير، ترسل GitHub إشعارات تلقائية لجميع المتعاونين عبر البريد الإلكتروني، مع تضمين الرسالة الكاملة في نص الإشعار.
تبدو رسالة البريد الإلكتروني الناتجة كإشعار GitHub قياسي. تؤكد رؤوس البريد الإلكتروني الخام أن الخادم المرسل هو “out-28.smtp.github.com”، وهو خادم بريد شرعي تابع لـ GitHub. توقيع DKIM يحمل “d=github.com” ويمر عبر جميع الفحوصات دون إثارة أي علامة أمنية.
يستخدم النهج عبر Jira آلية مختلفة. يقوم المهاجمون بإنشاء مشروع Jira Service Management، مع تعيين اسم وهمي، ويدمجون رسالة التصيد الخاصة بهم داخل حقل “رسالة الترحيب” أو “وصف المشروع”. باستخدام ميزة “دعوة العملاء”، يقدمون عنوان البريد الإلكتروني للهدف.
بعد ذلك، يقوم نظام Atlassian backlog بإنشاء بريد إلكتروني دعوة آلي، وتغليف محتوى المهاجم داخل قالبه المعتمد والمميز بعلامته التجارية. تصل رسالة البريد الإلكتروني بشكل مطابق تمامًا لإشعار نظام Jira رسمي، مع شعار Atlassian في النهاية.
توصي Cisco Talos المنظمات بالابتعاد عن الثقة العمياء في رسائل البريد الإلكتروني الواردة من منصات SaaS. يجب على فرق الأمن دمج سجلات تدقيق واجهة برمجة تطبيقات GitHub و Atlassian في نظام SIEM أو SOAR لتحديد الأنشطة غير العادية، مثل دعوات المستخدمين الجماعية أو إنشاء المشاريع من مواقع غير مألوفة، قبل إرسال أي رسالة تصيد احتيالي.
يجب وضع علامة مراجعة على أي إشعار يحمل محتوى ماليًا أو يحث على اتخاذ إجراءات عاجلة من منصات مثل GitHub أو Jira، نظرًا لأن هذا المحتوى يتعارض مع الغرض المقصود لتلك الأدوات. وللتفاعلات الحساسة، يجب على المستخدمين الانتقال مباشرة إلى البوابة الرسمية للمنصة بدلاً من النقر على روابط الإشعارات.
كما يتم تشجيع المؤسسات على أتمتة تقارير الإزالة وتقديمها لفرق الثقة والسلامة التابعة للمنصات لزيادة التكلفة التشغيلية للمهاجمين.