اختراق FBI الاستنساخ تقنيه تهدد الامن القومي
استراتيجية سحب والاحتيال في الامن السيبراني (الاستنساخ)
قبل البادي في الشرح النظري والعملي عليك ان تفرق بين ثلاثة انوع من عمليت السحب وهما كالتالي :
1-نسخ الموقع (Website scraping / mirroring / cloning) : تنزيل محتوى موقع بالكامل (HTML/ صور/ CSS/JS) بغرض العرض او التحليل او انشاء نسخة محليةادوات مثل HTTrack أو wget تستخدم لهذا الغرض سواء لاغراض شرعية (ارشفة_ اختبارات_ تصحيح اخطاء) او مسيئة (تحضير صفحة مزيفة تشبه الأصلية)
2-استنساخ الموقع لاستخدامه في هجوم تصيد (site cloning for phishing) : المهاجم ينسخ واجهة موقع شرعي ثم يستعملها في حملات بريد / رسائل لإيقاع المستخدمين واسرار بيانات اعتمادهم ادوات للاختبار او للهجوم مثل Social-Engineer Toolkit (SET)/Gophish/ Evilginx2 تستخدم عادة في اعداد او إدارة حملات التصيد ي (يوجد مقاله كامله قريبا عملي عن ارسال رسال مجهولة المصدر )
3-الاستيلاء على نطاق فرعي / Subdomain takeover او Takeover عام للموقع : يحدث عندما يترك مشرفو الموقع سجل DNS او خدمة خارجية مُعلقـة / منتهية وغير مستخدمة فيستغلها مهاجم لاستضافة محتوى تحت دومين موثوق (مثال : orphaned CNAME الى خدمةٍ انقضت) هذا يسمح للمهاجمين بنشر صفحات خبيثة تحت اسم نطاقك
كيف الحصول علي دومين مجاني https://www.youtube.com/watch?v=Sf-TDxvKMxU
أضرار (سحب المواقع) :
1-اختراق خصوصية وسرقة بيانات اعتماد : صفحات مصممة لإيهام المستخدم تسرق كلمات المرور/ توكنات الجلسات/ وبطاقات دفع
2-التصيد المتقدم (bypass 2FA) والاعتراض : استخدام بروكسيات عكسية او ادوات جعل الضحية تادخل رموز 2FA على صفحة مزيفة يمكن ان يسرق جلسات حتى مع 2FA (بعض أدوات مثل Evilginx2 صممت لاستغلال ذلك شاهد كيف يتم الامر عملي
https://www.youtube.com/watch?v=kXpRTb2XR9M&t=2s
3-الاضرار بسمعة العلامة التجارية والثقة : نشر محتوى خبيث على نطاق شبيه او فرعي يضع المستخدمين في خطر ويضرب سمعة الشركة
4-التزوير المالي والاحتيال : سرقة بيانات البطاقات/ سحب اموال/ أو استخدام حسابات مخترقة
5-تعطيل الخدمات وتهديدات قانونية وتنظيمية عند تسرب بيانات عملاء او موظفين شاهد كيف يتم زلك عملي
https://www.youtube.com/watch?v=rBA5qob7oq8&t=1421s
https://www.youtube.com/watch?v=0mASP7dDoFs&t=22s
https://www.youtube.com/watch?v=70UBHBD6KX8&t=1s
كيف تفرق بين الموقع الحقيقي والموقع المستنسخ / الاحتيالي
1-التحقق من عنوان الـURL بدقة (domain & subdomain) : تاكد من النطاق الكامل (مثال: accounts.example.com مقابل accounts-example.com أو example.co). الخداع غالبا في اختلاف حرف او إضافة
2-قفل TLS والشهادة الرقمية لا يكفيان وحدهما : وجود قفل HTTPS لا يعني أن الموقع امن المهاجمون يحصلون على شهادات TLS صالحة أيضاا. افحص الشهادة (من اصدرها، لمن صدرت هل اسم النطاق مطابق) شهاد كيف يتم الاحتيال والحصول علي شهاده صالحه عملي
https://www.youtube.com/watch?v=5UY_zqokUfo&t=1983s
3-تفقد HSTS ووجود سياسة الامان : مواقع موثوقة غالبا تستخدم HSTS هذا يقلل فرص هجمات ssl-stripوجود HSTS موشر مفيد لكن ليس قاطعا
4-تحقق من الروابط وعمليات اعادة التوجيه (redirects) : مرر الموشر على الروابط ولا تنقر فورا تحقق ان الروابط تودي الى نفس النطاق
5-تفقد تفاصيل الاتصال والدعم ووجود صفحة سياسة خصوصية واضحة ووسائل تواصل حقيقية
تحليل DNS وWHOIS : اداة WHOIS تكشف عن مالك النطاق /تاريخ التسجيل/ وhرقام الخوادم اختلافات هنا قد تشير للاحتيال
6-التحقق من البريد الإلكتروني المرسل : بالنسبة لروابط في الإيميل تأكد من hن الإيميل مرسل من دومين رسمي مع مصادقة (SPF/DKIM/DMARC) هذه الضوابط تقلل رسائل الانتحال
اشهر الادوات المستخدمة لـ(سحب/نسخ) المواقع او لاعداد صفحات مزيفة (Kali + ادوات خارجية)
اولا :على Kali Linux (ادوات شائعة)
1-HTTrack : اداة مفتوحة لنسخ مواقع كاملة محليا (mirroring) سهلة الاستخدام ومستخدمة للارشفة والاختبار
2-wget : اداة سطر اوامر مرنة لـmirror صفحات وملفات (wget --mirror --convert-links --page-requisites ) مفيدة للنسخ البسيط \
3-Social-Engineer Toolkit (SET) : اطار عمل مخصص لهجمات الهندسة الاجتماعية يتضمن مولدات صفحات تصيد وcredential harvesters لتجربة سيناريوهات يستخدم في اختبارات التحصين
ثانيا : ادوات خارجية / متخصصة في التصيد وادارة الحملات
Gophish : اطار مفتوح لادارة حملات التصيد التوعوي/ الاختباري يمكنك من ارسال رسائل/ تتبع النقرات/ وجمع بيانات التجاوب مناسب لفِرق الامن
شاهد كيف يتم زلك عمليا المرحله الاوله https://www.youtube.com/watch?v=86TKynA44Lk&t=455s
Evilginx2 : بروكسي عكسي يستخدم في هجمات (man-in-the-middle) لالتقاط بيانات الاعتماد وتوكنات الجلسة حتى مع 2FA في بعض السيناريوهات اداة متقدمة للغاية ويجب التعامل معها بحذر قانوني واخلاقي شاهد العملي المرحله الاوله
https://www.youtube.com/watch?v=kXpRTb2XR9M&t=6s
كيف تكتشف حملات التصيّد أو النسخ التي تستهدف مؤسستك
1-مراقبة تقارير DMARC وذكاء البريد : لبناء روية على الرسائل المرسلة باسم دومينك
2-تحليل السجلات (logs) للطلبات غير العادية : طلبات GET كثيرة من نفس الـIP او طلبات لصفحات حساسة من user-agents غير طبيعية
3-كشف subdomain takeover عبر مسح دوري للسجلات غير المستخدمة (ادوات مثل subjack / takeovers scanners)
4-hعداد صفحتين اختبارية (canary tokens) وروابط مائية يمكن تتبعها عند الوصول (تظهر من اين اتت الزيارة)
اجراءات استجابة للطوارئ (اذا اكتشفت استنساخا او صفحة تصيد)
1-إيقاف السجل/ النطاق المرتبط (او تعديل DNS) مؤقتا اذا كان ذلك ممكنا
2-جمع الأدلة (logs / headers / IPs / WHOIS) قبل اي حذف (لاغراض ابلاغ الجهات القانونية ومزودي الاستضافة)
3-ابلاغ مزود الاستضافة / الـCDN وفرق استجابة الحوادث لطلب ازالة المحتوى / حظر النطاق المزيف
4-ارسال تحذير لعملائك وموظفيك بشكل مدروس (مع تعليمات كيفية التحقق) ان لزم وتقديم خطوات استرداد حسابات متاثرة
5-مراجعة الثغرات التي سمحت بالحادثة (DNS misconfig / leaked creds / expired services) واغلاقها
وفيما يالي قبل عرض الجزاء العملي الخاص بي درس اليوم سوف نستعرض اقوي الهجمات التي تم استخدام هزا التقنيه في تنفيزها في عام 2025
1-حملة التصيدد التي استهدفت شركات ونتجت عنها خسائر مالية كبيرة مثال Pepco (فبراير 2024)
اثاره :الهجوم تصيد/ احتيال مصرفي متقدم استهدف فرع شركة التجزئة Pepco (بالمجر )وادى لخسائر نقدية ضخمة (~€15.5M). الهجوم اعتمد على رسائل مزورة وعمليات تحويل احتيالية (BEC / phishing)
لماذا مهم : مثال عملي على ان حملات التصيد البسيطة نسبيا قد تودي الي سرقات مالية كبيرة عندما توجه بشكل احترافي
2-اختراق وعمليات تعطيل من نوع «Change Healthcare» (فبراير 2024) بداية عبر استغلال اختراقات/ طرق دخول (phishing/credential theft → ransomware)
اثاره :هجوم ادى إلى تعطيل كبير في خدمات معالجة المطالبات الصحية بالولايات المتحدة مرتبط بمجموعة الفدية ALPHV/BlackCat في كثير من الحالات المشابهة كان التصيد وسرقة اعتمادات احد طرق الحصول على الوصول الأولي
لماذا مهم : اثر واسع النطاق على قطاع صحي حيوي يبين كيف ان سرقة الاعتمادات / التصيد يمكن ان تودي إلى احداث كبرى
3-ثغرات وسوء استخدام OAuth وواجهات المصادقة (حوادث متعددة — سجل بارز في أوائل 2025)
اثاره : باحثون وامنيون كشفوا مشاكل / تلاعب في تدفقات «Sign in with» وOAuth (مثال تقارير يناير 2025 عن ثغرات في Sign in with Google) وعمليات استغلال توافق الصلاحيات للوصول الى حسابات دون كلمات مرور مباشرة
لماذا مهم : بدلا من استنساخ صفحة تسجيل الدخول التقليدية ثم المهاجمون يستغلون شاشات منح الصلاحية (consent) او عيوب في الـOAuth لسرقة توكنات / صلاحيات وهو شكل متطور جدا من «نسخ الواجهة» أو خداع المستخدمكما
4-حملات EvilProxy / reverse-proxy التي تسمح بتجاوز 2FA (موجات استمرت 2023–2025)
اثارها : ادوات تعتمد على بروكسي عكسي (reverse proxy) تعيد تمرير صفحة تسجيل شرعية للمستخدم بينما تسمح للمهاجم بالتقاط توكنات الجلسة وOTP تقارير عن تكرار استخدام هذه الادوات في حملات استهداف حسابات سحابية ومنصات كبيرةكما تكلمناعنها في المقاله السابقه
لماذا مهم : تظهر ان وجود 2FA وحده ليس كافيا امام برمجيات بروكسي متقدمة الصفحات المزيفة هنا «مستنسخة» وتعمل كوسيط حي بين الضحية والخدمة الأصلية.
5-استغلال ادوات/ منصات التوليد السريع (Generative AI) لصنع مواقع تصيد خلال ثوانٍ اكتشاف Okta / Vercel (نصف إنشغال 2025)
اثارها : باحثو هوية (Okta) رصدوا اساءة استخدام اداة بنية مواقع (v0 / Vercel) لانشاء مواقع تصيد في 30 ثانية تحاكي بوابات تسجيل مشهورة (بما في ذلك بوابات الهوية (Okta) تم نشر نتائج في منتصف 2025
لماذا مهم : يقلل كثيرا من عتبة الدخول للهجوم حتى المهاجمين قليلي الخبرة صاروا قادرين على عمل صفحات مزيفة قوية بسرعة
6-حيل استغلال منصات شرعية (مثل Google Sites / Copilot Studio) لعمل صفحات مزيفة تبدو قانونية امثلة 2024–2025
اثارها : تقارير توثق استخدام ادوات رسمية (مثلا Google Sites) او مزايا في خدمات مثل Microsoft Copilot Studio لانشاء صفحات / عروض ترسل بريدا او تطلب صلاحيات OAuth مُضللة (مثال حديث جدا: تقنية أسميت(CoPhish) تستغل Copilot Studio لسرقة توكنات OAuth تقارير وردت حتى بالأيام الأخيرة)
لماذا مهم : عندما يستغل نطاق او اداة تابعة لمزود موثوق يصبح كشف الخداع اصعب لان البريد او الروابط قد تاتي من نطاقات شرعية
7-حوادث Subdomain Takeover واساءة استخدامها (مستمرة في 2024–2025)
اثارها : حالات موثقة لمواقع تركت سجلات DNS متدلية (dangling CNAMEs) فاستغلها مهاجمون لاستضافة محتوى خبيث تحت دومين موثوق منشورات وادلة عملية كثيرة خلال 2024–2025 تحذر من ذلك
لماذا مهم : مصطلح (نسخ الموقع)هنا ياخذ شكلا اخر الاستيلاء على مساحة ضمن نفس النطاق لمنح المهاجم مصداقية تلقائية
الان نعرض الجزاء العملي الخاص بموضوع الدرس
تابعني علي
قناتي علي يوتيوب
https://www.youtube.com/@Harm1903
قنواتي علي تلجرام
https://t.me/+U_m-f-xHBJ0yZjA0
https://t.me/+oIgzytCHDC85NDBk
https://t.me/+3xOHvPWvsUA3MGY8
https://t.me/+e-_xxbMf32JhMzg0
قناتي علي تيك توك
https://www.tiktok.com/@harm_1996
ادعمنا حتي نستمر في تقديم المزيد كان معكم HARM وانتظرونا في درس جديد في عالم الامن السيراني والسلام عليكم ورحمت الله وركاته
