كيف أصبح المتصفح ساحة القتال السيبرانية الأهم في العصر الرقمي

في العقد الماضي، اعتمدت الهجمات السيبرانية الكبرى على نمط تقليدي إلى حدٍّ ما:
اختراق جهاز المستخدم إما عبر ثغرات برمجية أو من خلال هندسة اجتماعية تدفع الضحية لتشغيل برمجيات خبيثة، يلي ذلك حركة جانبية داخل الشبكة بحثًا عن هويات ذات صلاحيات مرتفعة، ثم تنفيذ الهجوم النهائي بسرقة البيانات أو نشر برامج الفدية.
لكن مع تحوّل البنية التحتية الرقمية في المؤسسات إلى نماذج البرمجيات كخدمة (SaaS)، لم تعد الأنظمة الأساسية تُدار محليًا، بل يتم الوصول إليها عن بُعد عبر المتصفح.

أصبحت المتصفحات بوابة الوصول إلى الأنظمة، ما أدى إلى تحوّل الهجمات من التركيز على الشبكات المحلية إلى استهداف الخدمات السحابية عبر المتصفح، حيث تقع مسؤولية الأمان على إدارة الهوية، وهي أضعف الحلقات وأكثرها استهدافًا.

المتصفح هو ساحة المعركة الجديدة ونقطة ضعف أمنية خطيرة

هدف المهاجم الأول اليوم هو السيطرة على هويات الموظفين الرقمية، لأن المتصفح هو موطن إنشاء هذه الهويات وتخزين بيانات الاعتماد والرموز الجلسية (session tokens).
عند سرقة بيانات الاعتماد، يمكن للمهاجم استخدامها لهجمات موجهة أو لمحاولات “تعبئة بيانات الاعتماد” على تطبيقات متعددة. أما سرقة الرموز الجلسية فتمكّنهم من الدخول إلى جلسات نشطة دون الحاجة لتسجيل دخول.

يستخرج المهاجمون هذه البيانات من تسريبات سابقة، أو حملات تصيّد جماعية، أو سجلات برمجيات سرقة المعلومات، أو حتى من خلال إضافات خبيثة للمتصفح يُخدع الموظف بتثبيتها.
وقد تطور المشهد الإجرامي لتقديم خدمات متخصصة فقط في سرقة بيانات الدخول وبيعها.

حادثة Snowflake في عام 2024 تمثل نقطة تحوّل فارقة، حيث تم استخدام بيانات اعتماد مسروقة منذ عام 2020 لاختراق حسابات مئات العملاء، ما يكشف الفجوة الكبيرة في الأمن حول تدوير كلمات المرور وعدم تفعيل المصادقة متعددة العوامل (MFA).

الهجمات داخل المتصفح مقابل الهجمات على المتصفح

يجب التمييز بين الهجمات التي تحدث داخل المتصفح، مثل سرقة بيانات اعتماد المستخدم أثناء جلسة تصفح، وبين تلك التي تستهدف المتصفح نفسه، مثل تثبيت إضافة خبيثة.

رغم وجود حملات تعتمد على إضافات المتصفح، إلا أن التحكم في هذه المسألة نسبيًا سهل: لا تسمح إلا بعدد محدود من الإضافات، وراقب أي تغيير فيها. ومع ذلك، في بيئات غير مضبوطة، حيث يستطيع الموظفون تثبيت أي إضافة، تصبح الأمور أشبه بمنحهم صلاحيات المدير المحلي على أجهزتهم.

الهوية هي الهدف والمتصفح هو منصة الهجوم والتصيّد هو السلاح

رغم تنوع الأساليب، فإن التصيّد الإلكتروني لا يزال أكثرها فاعلية.
سواء كان تصيّدًا لسرقة بيانات الاعتماد أو رموز الجلسات أو موافقات OAuth، فإن كل الطرق تؤدي في النهاية إلى المتصفح.
تتخذ حملات التصيّد الحديثة شكلاً صناعيًا، باستخدام تقنيات تمويه متقدمة لتفادي أدوات الأمن، مثل استخدام أنظمة CAPTCHA الشرعية لمنع تحليل الروابط الخبيثة أو حجبها من أدوات الحماية.

كما أن مجموعات التصيّد الحديثة باتت تستخدم أدوات مخصصة تُشوش شيفرات صفحات الويب، وتزرع عناصر تحقق مزيّفة، وتمنع التحليل الزمني، مما يجعل اكتشافها أكثر صعوبة.

ومع تزايد صعوبة اختراق مزودي الهوية (IdPs) وأنظمة الدخول الأحادي (SSO)، يلجأ المهاجمون إلى تخفيض آليات المصادقة نحو طرق يمكن تصيّدها، مثل الرموز الاحتياطية التي يمكن استغلالها بسهولة.

الهويات: الثغرة الأكثر استغلالًا والأقل حماية

الهويات الرقمية هي البوابة الأسهل لاختراق المنظومات الحديثة.
تشمل التهديدات الشائعة ما يلي:

حسابات كثيرة موزعة عبر تطبيقات SaaS، بتكوينات مختلفة.
آليات دخول يمكن تجاوزها أو لا تقاوم التصيّد، مثل كلمات مرور ضعيفة أو مكررة أو بدون MFA.
تخطي إجراءات المصادقة تمامًا، باستخدام مفاتيح API أو كلمات مرور لتطبيقات معينة أو تصيّد موافقات OAuth.
تسجيلات دخول “شبحية” لا تتم مراقبتها.

تملك المؤسسة المتوسطة التي تضم 1000 موظف أكثر من 15000 حساب على تطبيقات مختلفة، وغالبًا بدون رقابة أمنية مركزية. وتتنوع قدرات التحكم من تطبيق إلى آخر، ففي حين يمكن حصر تسجيل الدخول في تطبيق ما عبر SSO فقط، قد يفتقر تطبيق آخر لأي آلية تحكم بالمصادقة أو رؤية لحالة MFA.

النتيجة: الهويات الرقمية غير مضبوطة، لا تُرصد، وسهلة الاستغلال من أدوات المهاجمين التجارية، لتصبح الهدف الأول في الهجمات السيبرانية.