- يستغل المتسللون نطاقات .arpa لإخفاء هجمات التصيد الاحتيالي بشكل فعال
- تحاكي رسائل البريد الإلكتروني التصيدية العلامات التجارية الموثوقة لخداع المستخدمين للكشف عن بيانات الاعتماد
- تمنح نطاقات عناوين IPv6 للمهاجمين إمكانية التحكم في النطاقات الفرعية .arpa الضارة
تم رصد نوع جديد من هجمات التصيد الاحتيالي يستغل نطاق .arpa، وهو جزء من الإنترنت يُستخدم عادةً لوظائف الشبكة الأساسية بدلاً من مواقع الويب.
على عكس النطاقات المألوفة مثل .com أو .net، يساعد .arpa أجهزة الكمبيوتر على مطابقة عناوين IP مع أسماء النطاقات، وهي عملية تسمى DNS العكسي.
لكن بحثًا جديدًا أجرته شركة Infoblox Threat Intel يدعي أن المهاجمين يستخدمون الآن هذه المساحة لاستضافة صفحات التصيد مع تجنب فحوصات الأمان القياسية.
لماذا تعتبر إساءة استخدام .arpa تهديدًا خطيرًا
قال الدكتور رينيه بيرتون، نائب رئيس شركة Infoblox Threat Intel: “عندما نرى مهاجمين يسيئون استخدام نطاق .arpa، فإنهم يستخدمون جوهر الإنترنت كسلاح”.
وأوضحت أن .arpa لم يكن المقصود منه أبدًا استضافة مواقع الويب، لذا فإن العديد من أنظمة الأمان لا تراقبه عن كثب، وباستخدامه لتقديم صفحات ضارة، يمكن للمهاجمين تجاوز الدفاعات التي تعتمد على أسماء النطاقات المعروفة أو أنماط عناوين URL النموذجية.
ويعمل الهجوم باستخدام IPv6، وهو أحدث نوع من عناوين الإنترنت. يتحكم مجرمو الإنترنت في مجموعة من العناوين ثم يقومون بتكوينها للإشارة إلى الخوادم التي تستضيف صفحات التصيد.
وفي بعض الحالات، تتم إدارة هذه العناوين من خلال خدمات مثل Cloudflare، والتي تخفي الموقع الحقيقي للمحتوى الضار.
حتى أن بعض موفري DNS يسمحون للمستخدمين بإدارة نطاقات .arpa بطرق لم تكن مخصصة لاستضافة الويب على الإطلاق.
يسمح هذا للمهاجمين بإرفاق محتوى ضار بالإدخالات التي لا تؤدي عادةً إلى موقع ويب.
تتضمن إساءة الاستخدام أيضًا أنفاق IPv6 المجانية، والتي توفر الوصول الإداري إلى نطاقات عناوين كبيرة حتى لو لم يتم استخدام الأنفاق نفسها لنقل البيانات.
يتم تسليم المحتوى الضار من خلال رسائل البريد الإلكتروني التصيدية، والتي غالبًا ما تحاكي العلامات التجارية المعروفة وتعد بمكافآت مثل “الهدايا المجانية” أو الجوائز لجعل الرسائل تبدو مشروعة.
عندما ينقر المستخدم على الصورة أو الرابط الموجود في البريد الإلكتروني، تتم إعادة توجيه المستخدم إلى موقع ويب مزيف يلتقط تفاصيل تسجيل الدخول أو معلومات حساسة أخرى.
تعمل رسائل البريد الإلكتروني كطعم، وتظل عناوين .arpa غير العادية مخفية في الخلفية، لذلك يبدو عنوان URL المرئي عاديًا.
ونظرًا لأن .arpa ضروري لعمليات DNS، فمن غير المرجح أن يتم حظر نطاقاته تلقائيًا.
يقوم المهاجمون أيضًا بإنشاء عناوين فريدة يصعب اكتشافها عن طريق إضافة نطاقات فرعية عشوائية، مما يجعل من الصعب على أنظمة الأمان التعرف عليها.
تُظهر طريقة الهجوم هذه أن مجرمي الإنترنت لا يحتاجون إلى استغلال عيوب البرامج لتحقيق النجاح.
ومن خلال إعادة استخدام آليات الإنترنت الحالية بشكل إبداعي، يمكنهم خداع المستخدمين للتخلي عن بيانات الاعتماد من خلال قنوات تبدو مشروعة.
ويحذر بيرتون من أن المدافعين بحاجة إلى التعامل مع البنية التحتية لنظام DNS على أنها “عقارات ذات قيمة عالية للمهاجمين” ومراقبة جميع نقاط سوء الاستخدام المحتملة.
يمكن للمؤسسات تقليل المخاطر من خلال تشديد قواعد جدار الحماية، وفرض سياسات حماية الهوية، وضمان إزالة البرامج الضارة بسرعة في حالة نجاح الهجمات.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات