لا تزال هجمات التصيّد الإلكتروني تمثل تحديًا كبيرًا للمؤسسات في عام 2025. ومع تزايد اعتماد الجهات المهاجمة على تقنيات تستهدف الهوية بدلًا من استغلال الثغرات البرمجية، فإن التصيّد أصبح يُشكل خطرًا أكبر من أي وقت مضى.
تشير تقارير مثل تقرير Verizon DBIR إلى أن هجمات التصيّد وسرقة بيانات الاعتماد أصبحت السبب الرئيسي في حدوث الانتهاكات الأمنية، متفوقة على الأساليب التقليدية القائمة على استغلال البرمجيات.
لماذا أصبح المتصفح بيئة الهجوم المثالية؟
يعتمد المهاجمون بشكل متزايد على أساليب تستهدف هوية المستخدم، مثل هجمات التصيّد، لتحقيق نفس أهداف الهجمات الشبكية أو التي تستهدف الأجهزة الطرفية – فقط من خلال تسجيل الدخول إلى حساب الضحية.
ومع استخدام المؤسسات لعشرات بل مئات التطبيقات السحابية، توسعت رقعة الحسابات التي يمكن استهدافها وسرقة بيانات اعتمادها، مما جعل الأمر أكثر تعقيدًا.
وعلى الرغم من انتشار تقنيات المصادقة متعددة العوامل (MFA)، إلا أن أدوات التصيّد الحديثة أصبحت تتجاوز حتى آليات المصادقة المستندة إلى الرسائل النصية أو رموز OTP أو الإشعارات الفورية. في المقابل، تتعرض أدوات الكشف والرد لضغوط شديدة في ظل عجز أدوات الوقاية عن التصدي لهذه التهديدات.
تجاوز أدوات الكشف التقليدية
تعتمد أغلب حلول الكشف عن التصيّد على طبقات البريد الإلكتروني والشبكة، مثل بوابات البريد الإلكتروني الآمن (SEG) وبوابات الويب الآمن (SWG)، لكن المهاجمين باتوا يعرفون هذه الأساليب جيدًا ويتفادونها من خلال:
-
تدوير عناوين IP والنطاقات والروابط ديناميكيًا لتجاوز قوائم الحظر.
-
استخدام أدوات لمنع التحليل، مثل CAPTCHA وCloudflare Turnstile.
-
تعديل العناصر البصرية والبنية DOM للصفحات لتفادي التوقيعات الأمنية.
بل ويقومون بإطلاق هجمات متعددة القنوات، مثل استخدام إعلانات خبيثة في Google Ads (هجمات malvertising) لتجاوز البريد الإلكتروني تمامًا.
لماذا المتصفح هو الحل الأمثل لوقف التصيّد؟
نظرًا لأن غالبية هجمات التصيّد تعتمد على فتح روابط خبيثة في المتصفح، فإن بناء قدرات للكشف والرد داخل المتصفح نفسه يمثل تحولًا جذريًا في ميدان الدفاع السيبراني.
1. تحليل الصفحات وليس الروابط فقط
تعتمد العديد من حلول الكشف على تحليل الروابط أو ملفات HTML الثابتة. لكن صفحات التصيّد الحديثة ديناميكية بالكامل، وتعتمد على JavaScript لإطلاق المحتوى الخبيث. وهذا يعني أن الفحص السطحي غالبًا ما يفشل في رصد الهجوم.
الاعتماد على تحليل النطاقات أو عناوين IP لم يعد كافيًا، لأن المهاجمين قادرون على تدويرها باستمرار. بل إن بعض الأدوات تستخدم روابط لمرة واحدة فقط، مما يُصعّب على فرق الأمن إعادة تحليل الصفحة لاحقًا.
2. الكشف عن أساليب وتقنيات الهجوم (TTPs) وليس فقط مؤشرات الاختراق (IoCs)
حتى عندما تُستخدم أدوات تعتمد على تحليل سلوك المهاجم، فإنها غالبًا تُخدع باستخدام CAPTCHA أو Cloudflare Turnstile التي تمنع الروبوتات من الوصول للمحتوى.
ولكن داخل المتصفح، يمكن مراقبة:
-
كل تفاعل للمستخدم (نقرات، ضغطات المفاتيح، تغييرات DOM).
-
حركة HTTP الكاملة (وليس فقط بيانات DNS أو IP).
-
تكامل الصفحة مع بيانات الجلسة والتخزين المحلي وملفات تعريف الارتباط (Cookies).
3. التصدي للهجوم في الوقت الحقيقي – وليس بعد وقوعه
في أغلب الحالات، تحدث الاستجابة لهجوم التصيّد بعد فوات الأوان. حتى حلول الوكلاء (Proxies) لا توفر مراقبة فورية، وتتطلب تحليلًا متأخرًا لحركة الشبكة بعد التشفير.
لكن من داخل المتصفح، يمكن رؤية الصفحة في اللحظة نفسها التي يتفاعل فيها المستخدم معها، مما يتيح إيقاف الهجوم قبل حدوث الضرر.
الحلول القائمة على المتصفح تغيّر قواعد اللعبة
توفر أداة Push Security حلًا يستند إلى المتصفح للكشف عن هجمات التصيّد والاستجابة لها فورًا داخل المتصفح نفسه. وعند رصد صفحة تسجيل دخول مزيفة، تقوم الأداة بما يلي:
-
مقارنة كلمة المرور المُدخلة مع كلمات مرور استخدمت مسبقًا لمواقع أخرى.
-
التحقق مما إذا كانت الصفحة نسخة مزيفة لصفحة تسجيل دخول معروفة.
-
اكتشاف وجود أدوات تصيّد مدمجة في الصفحة.
وبمجرد تأكيد التهديد، تمنع الأداة المستخدم من التفاعل مع الموقع الخبيث.
ما بعد التصيّد – دفاع شامل ضد هجمات الهوية
لا يقتصر دور Push Security على التصيّد فحسب، بل يشمل أيضًا:
-
التصدي لهجمات credential stuffing وpassword spraying.
-
الكشف عن الثغرات في تسجيل الدخول الموحد (SSO)، وإعادة استخدام كلمات المرور.
-
التعامل مع التكاملات الخطرة عبر OAuth.
