تتطور التهديدات السيبرانية بسرعة متجاوزة رسائل التصيد الاحتيالي التي يسهل اكتشافها. يستغل المهاجمون الآن رسائل الفواتير الشرعية من خدمات موثوقة مثل Apple و PayPal لدفع الاحتيال المالي، مما يجعل من الصعب على أدوات الأمن التقليدية كشفها.
تستغل هذه الحملات المتقدمة الثقة التي يضعها المستخدمون في الإشعارات المألوفة من العلامات التجارية الكبرى. ويسلط هذا الابتكار الضوء على فجوة حرجة في أمن البريد الإلكتروني، حيث أنظمة الدعم من خلال الهجمات بإعادة استخدام DKIM لا تتحقق من محتوى الرسائل.
Hacks Leverage Reputable Invoices to Deceive Users
تستهدف هذه المبادرة الخبيثة بشكل خاص الثغرات في آلية عمل بروتوكولات مصادقة البريد الإلكتروني، وتحديداً DKIM. يقوم المحتالون بإنشاء فواتير أو إشعارات نزاع تبدو شرعية عبر حساباتهم الخاصة على منصات مثل PayPal و Apple.
يتم تضمين أرقام هواتف احتيالية ضمن الحقول التي يمكن للمستخدمين تعديلها، مثل “ملاحظات البائع”. ونظراً لأن هذه الرسائل تصدر مباشرة من المنصة، فإنها تحمل توقيعات رقمية صحيحة، مما يجعلها تبدو كرسائل عادية.
بعد ذلك، يتم إرسال هذه الرسائل التي تم إنشاؤها بشكل شرعي إلى عناوين البريد الإلكتروني للمحتالين أولاً. وبهذه الطريقة، تحصل الرسالة على توقيع DKIM صالح من مزود الخدمة الموثوق به.
وبمجرد الحصول على التوقيع، يقوم المجرمون بإعادة توجيه هذه الرسالة الإلكترونية بالضبط إلى قوائم كبيرة من الضحايا المحتملين. وبسبب أن التوقيع الرقمي الأصلي يغطي كامل محتوى الرسالة، فإنه يظل ساري المفعول حتى بعد إعادة التوجيه.
هذا يسمح للبريد الإلكتروني الخبيث بتجاوز فحوصات DMARC، وبالتالي يصل مباشرة إلى صناديق البريد الوارد للضحايا دون إثارة أي إنذارات. يرى المستخدمون رسائل تبدو من عناوين رسمية مثل “service@paypal[.]com”، لكن المحتوى يوجههم للاتصال بأرقام دعم مزيفة بهدف سرقة البيانات المالية.
Protecting Against DKIM Replay Attacks
لمواجهة هذه التهديدات، يوصي خبراء الأمن بتكوين بوابات البريد الإلكتروني لفحص رأس “إلى” بحثاً عن أي عدم تطابق بين المستلم الفعلي والمستلم الظاهر في رأس الرسالة.
إضافة إلى ذلك، يعد تدريب المستخدمين على البقاء متشككين تجاه الفواتير غير المرغوب فيها أمراً ضرورياً. يجب عليهم التحقق من أي ادعاءات عبر تسجيل الدخول مباشرة إلى البوابات الرسمية للخدمات بدلاً من الاعتماد على أرقام الهواتف المذكورة في نص الرسائل.