تخطي إلى المحتوى

حالة استخدام

حالة استخدام أثناء التحقيق في رسائل البريد الإلكتروني الضارة للتصيد الاحتيالي والمرفقات ومواقع الويب والبنية التحتية الأخرى، ستحتاج إلى اتخاذ بعض الخطوات الاستباقية للتأكد من الحفاظ على سلامتك وسلامة الأشخاص الذين تدعمهم. ستحتاج أيضًا إلى معرفة ما يجب إبلاغ المستلم به بشأن الرسائل كلما واجه مثل هذه الحوادث وكيف يمكنه إبلاغك بها بأمان للتعامل معها دون تعريض نفسه للخطر. تأكد من دراسة هذه المهارة، وإذا لزم الأمر حضّر بيئة آمنة قبل التفاعل مع رسائل البريد الإلكتروني أو صفحات الويب المشتبه بأنها ضارة.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

  • توضيح كيفية التعامل بأمان مع رسائل البريد الإلكتروني وعناوين مواقع الويب الضارة أثناء التحقيق في البنية التحتية الضارة.
  • وصف الخطوات التي يجب عليهم اتخاذها لمنع تسرب عنوان بروتوكول الإنترنت الخاص بهم أثناء إجراء التحقيق.
  • صِف الخطوات التالية الفورية عندما تشك في احتمال تعرض حساب للاختراق. -إزالة الضرر من عناوين الويب بأمان

العرض

تحاول العديد من رسائل البريد الإلكتروني الاحتيالية والرسائل المماثلة دفع الشخص المستهدف إلى أكثر من النقر على رابط فحسب، حيث قد تحاول أيضًا جمع بيانات عنه (يُناقش هذا بتفصيل أكبر في الموضوع الفرعي 6). عند إجراء تحقيق، من المهم التعامل مع الرسائل والبنية التحتية الأخرى بحذر حتى لا تكشف للمهاجم الكثير من المعلومات حول هويتك وعملك ومؤسستك وكذلك لأجل حماية الأجهزة والحسابات.

احتياطات أساسية

عادة ما نُقسّم التحليل إلى عنصرين هما غير نشط (الموضوعان الفرعيان 4 و5) ونشط (الموضوعان الفرعيان 6 و7) ويجب ألا يتضمن التحليل غير النشط أي اتصال بخوادم المهاجمين في حين يتضمنها التحليل النشط.

من المهم أن يفهم المحللون أنواع الأنشطة التي تتفاعل مباشرة مع البنية التحتية للمهاجمين وبالتالي يمكن اكتشافها، وبمجرد أن يفهم المحللون ذلك سيكونون قادرين على تكييف الأساليب التي يستخدمونها مع نماذج التهديد ذات الصلة.

نوصي بمراعاة الاحتياطات الأمنية التشغيلية التالية عند إجراء تحليلاتك:

البيئة الآمنة

حسب تعقيد الهجمات التي تتعامل معها، وحساسية الجهاز والبيانات والحسابات التي تستخدمها، وحتى حساسية أنشطة الفحص وهويتك الشخصية، قد تحتاج إلى تبني بيئة آمنة مناسبة لإجراء الفحص. يجب أن تراعي الاقتراحات التالية عند تكوين حل السلامة خاصتك:

  • استخدم شبكة ظاهرية خاصة ذات سمعة طيبة أثناء القيام بأي نشاط قد يستلزم التفاعل مع البنية التحتية للمهاجم من أجل تجنّب تسجيل المهاجم لعنوان بروتوكول الإنترنت الفعلي الخاص بك.
  • اختر متصفحًا معينًا على جهازك واستخدمه لهذا العمل والذي تقوم بتهيئته مسبقًا لتقليل مخاطر تشغيل المحتوى النشط الضار على جهازك. تُعد إضافة نو سكريبت (NoScript) إضافة متصفح ممتازة متاحة على متصفحات فايرفوكس (Firefox) والمستندة إلى كروميوم (Chromium) التي ستمنع تنفيذ البرمجيات النصية مما يسمح لك بفحص أي محتوى نشط قبل التنفيذ.
  • يجب أن تراعي استخدام جهاز منفصلًا لتحليلاتك أو جهازًا افتراضيًا منفصلًا. يجب ألا يكون هذا الجهاز والجهاز الافتراضي متصلين بأي عمل أو حسابات شخصية أو تخزين متصل بالشبكة أو شبكات حساسة. يجب ألا يحتوي على أي معلومات حساسة (ما لم تكتشف مثل هذه المعلومات خلال الفحص الذي تقوم به).
  • أعد عنوان بريد إلكتروني خاص يمكن للأشخاص المستهدفين إعادة توجيه رسائل البريد الإلكتروني المشبوهة التي يتلقونها. (إذا تلقوا رسائل مشبوهة من منصة مثل واتسآب يمكنهم إرسال لقطة شاشة للرسالة عبر البريد الإلكتروني). لا يلزم أن يكون عنوان البريد الإلكتروني هذا فريدًا لكل شخص مستهدف، ولكن تأكد من أن هذا الحساب محمي بكلمة مرور فريدة ومصادقة ثنائية وتأكد من منع عميل بريدك الإلكتروني تحميل المحتوى الخارجي مثل الصور تلقائيًا، ويعود سبب ذلك إلى أن الصور التي يتم تحميلها من الخادم يمكن أن تُنبه المهاجم إلى أنه يخضع للفحص وتحول التحقيق من تحقيق غير نشط إلى تحقيق نشط (انظر الموضوع الفرعي 6 لمزيد من التفاصيل).
  • تأكد من وجود جهاز كمبيوتر محمي مزود بحماية محدثة من البرمجيات الضارة لحماية جهاز الكمبيوتر الخاص بك من تحليل البرمجيات الضارة من أي انتشار محتمل لإصابة البرمجيات الضارة إلى جهاز الكمبيوتر الخاص بك.

إزالة الضرر من عناوين الويب

أثناء قيامك بتوثيق عناوين مواقع الويب التي يحتمل أن تكون ضارة، من الشائع “إزالة الضرر منها” بحيث لا تقوم تلقائيًا التطبيقات التي تستخدمها لتدوين الملاحظات أو التوثيق بإنشاء روابط قابلة للنقر تقودك عن غير قصد (أو أي شخص تتعاون معه) إلى النقر على الرابط أو إرسال حركة مرور إلى عنوان موقع الويب من جهاز العمل الخاص بك. تقوم بعض التطبيقات أيضًا مثل برامج المراسلة بعرض معاينة للروابط تلقائيًا (وتُحمل المحتوى من الخادم من أجل القيام بذلك) وتسمح إزالة ضرر عناوين موقع ويب بمنعهم من القيام بذلك.

يجري ذلك عادة عن طريق استبدال قسم البروتوكول من عنوان موقع الويب بشيء لا يعمل ووضع [أقواس مربعة] حول النقاط في عنوان موقع الويب. على سبيل المثال:

From live URLTo defanged URL
https://www.malicious-site.comhxxps://www[.]malicious-site[.]com
ftp://192.168.12.20fxp://192[.]168[.]12[.]20

يمكن القيام بذلك يدويًا باستخدام محرر نصي فقط مثل نوتباد (NotePad) أو تكست إيدت (Textedit) أو جي إيدت (Gedit). راجع أيضًا الأدوات المساعدة مثلhttps://defang.me/ أو ابحث عن أدوات إزالة الضرر على سايبر شيف (CyberChef).

لتواصل مع الأشخاص المستهدفين والخطوات التالية الفورية خلال وقوع حادث

ا إذا كنت تشك بأن المهاجم قد تمكن من الوصول إلى البريد الإلكتروني للشخص المستهدف أو حساب مراسلته أو أنه يراقب أجهزته (قد يكون الأمر الأول نتيجة لهجوم تصيد ناجح، في حين يكون الأمر الثاني ناتجًا عن برمجيات ضارة، على سبيل المثال نتيجة تشغيل مرفق ضار)، اطلب من الشخص المستهدف عدم استخدام هذا الجهاز والحساب حتى تتمكن من معرفة ما يحدث. إذا كان ذلك ممكنًا، تواصل مع الشخص المستهدف من خلال حساب وجهاز آخرين - على سبيل المثال، سيغنال (Signal) أو واتسآب على جهازه الشخصي.

إذا كنت تشك باحتمال تعرض حسابات شخص مستهدف للاختراق، اطلب منه تغيير كلمات المرور الخاصة به على الفور وفرض تسجيل الخروج من حسابات من جميع المواقع الأخرى (تحتوي معظم الخدمات الرئيسية على خيار مشابه). ويجب أن يمنع هذا المهاجم من الوصول إلى الحساب مرة أخرى. لكن سوف ينبههم إلى أن الشخص المستهدف قد أدرك أن هناك خطأ ما. وربما يكون المهاجم قد قام بالفعل بتنزيل كمية كبيرة من بيانات الحساب.

إذا كنت تشك في تعرض جهاز شخص مستهدف للاختراق، اطلب منه تغيير كلمات مرور حسابه على جهاز مختلف وتجنب استخدام هذا الجهاز حتى يكتمل التحقيق واتبع الخطوات الموضحة في مسار تعلّم اكتشاف البرمجيات الضارة.

الممارسة

  • بعد إيقاف تشغيل الشبكة الظاهرية الخاصة بك (إذا كان ذلك آمنًا)، انتقل إلى موقع ويب يعرض عنوان بروتوكول الإنترنت الخاص بك (يسهل العثور على مواقع الويب هذه، ما عليك سوى البحث عن “ما هو عنوان بروتوكول إنترنت الخاص بي” في محرك البحث المفضل لديك). فكر بم سيحدث إذا عرف المهاجم عنوان بروتوكول الإنترنت الخاص بك، هل يخص شركة أو مكتبًا؟ ثم قم بتشغيل شبكة ظاهرية خاصة ذات سمعة طيبة وتحقق مرة أخرى من عنوان بروتوكول الإنترنت الخاص بك. أخيرًا، اطلّع على تسريبات نظام أسماء المجالات (DNS) وجرّب الشبكة الظاهرية الخاصة بك لترى ما إذا كانت تُسرب معلومات خدمة أسماء المجالات (تتمتع معظم الشبكات الظاهرية الخاصة بموقع ويب خاص يختبر تسريب خدمة أسماء المجالات ويمكنك استخدام محرك بحثك المفضل لديك للعثور عليها).
  • قم بإزالة الضرر من عنوان موقع ويب https://www.wikipedia.org/ ثم الصق عنوان موقع ويب التي تمت إزالة ضرره في شريط عناوين متصفح الويب واضغط على إدخال. إذا لم يقم بتحميل صفحة الويب، سيعني ذلك أنك قد أزلت ضرره بشكل صحيح (قد يحاول متصفح الويب بدلًا من ذلك البحث عن عنوان موقع الويب منزوع الضرر في محرك بحث وهذا سلوك طبيعي تمامًا).

اختبار مهارة

اعمل مع نظير أو مُرشِد ليرسل لك رمز تتبع تم إنشاؤه هنا. افتح رمز التتبع هذا على جهاز التحليل الخاص بك. بمجرد القيام بذلك، سيتلقى النظير أو المُرشِد بعض المعلومات على عنوان البريد الإلكتروني الذي استخدمه للتسجيل والحصول على رمز التحليل، بما في ذلك عنوان بروتوكول الإنترنت الخاص بك ووصفًا موجزًا لمتصفح الويب الخاص بك يسمى وكيل المستخدم. ناقش هذه النتائج مع نظير أو مُرشِد، علمًا أنه في حال كنت تجري تحليلًا نشطًا من المحتمل أن يرى المهاجم هذه التفاصيل أيضًا لأنك ستستخدم هذا الجهاز للاتصال بالخوادم التي يتحكم فيها.

موارد التعلّم

(NoScript) نو سكريبت

مجانًا

إضافة إلى متصفحات فايرفوكس والمتصفحات المستندة إلى كروميوم تسمح لك بحظر أو السماح بتنفيذ جافا سكريبت بشكل انتقائي. عند النظر إلى مواقع الويب التي يحتمل أن تكون ضارة، تسمح لك بتحميل الموقع مع تعطيل الكثير من وظائفه التي يحتمل أن تكون ضارة.

اللغات: الإنجليزية
زيارة الموقع

(Defang.me) أداة ديفانغ دوت مي

مجانًا

الوصف : أداة تقوم تلقائيًا بإزالة الضرر من عناوين مواقع الويب وعناوين بروتوكول الإنترنت

اللغات: الإنجليزية
زيارة الموقع

(CyberChef) أداة سايبر شيف

مجانًا

الوصف : أداة شاملة للتحويل بين التنسيقات المختلفة، وقادرة أيضًا تلقائيًا على إزالة الضرر من عناوين مواقع الويب وعناوين بروتوكول الإنترنت

اللغات: الإنجليزية
زيارة الموقع