🛡️ درس عملي من مختبر “ديجيتال شيلد لاب”: تشريح بريد تصيدي حي وكيف تفضحه في ثوانٍ؟
في هذا الدرس التطبيقي، سنقوم بتفكيك رسالة بريد إلكتروني احتيالية حقيقية رصدتها أنظمتنا، انتحل فيها المهاجمون هوية شركة التوقيعات الرقمية العالمية الشهيرة DocuSign. سنوضح لكم خطوة بخطوة، ومن زاوية تقنية واستخباراتية، الثغرات والأخطاء القاتلة التي ارتكبها الهاكر وتسببت في كشف أمره برمجياً ونفسياً.
🛑 القاعدة الصفرية قبل الفحص التقني: “هل تنتظر هذا المستند؟”
قبل أن تبدأ بفحص الروابط أو التدقيق في البنية البرمجية لاسم المرسل، هناك خط دفاع نفسي أول (Cyber-Psychology) يجب أن تفعلّه فوراً في عقلك، وهو التساؤل المنطقي:
“هل أنا عميل لهذه الشركة؟ وهل أنتظر بريداً إلكترونياً بخصوص هذا الموضوع تحديداً؟”
في حالتنا هذه، الرسالة تدعي أن هناك مستنداً سرياً تم اكتماله وتوقيعه رقمياً، في حين أننا لم نقم بإنشاء أي معاملة، ولا ننتظر أي ملفات للتوقيع من هذه الشركة، وليس لدينا أي تعاملات جارية تتطلب مستنداً سرياً.
وصول ملف “مكتمل” أو “مطلوب توقيعه” فجأة ودون سابق إنذار أو تنسيق مسبق مع الجهة المرسِلة، هو أكبر مؤشر خطر (Red Flag) يثبت أن الرسالة عشوائية وتستهدف التصيد الجماعي العشوائي (Bulk Phishing). إذا كان الموضوع لا يخصك ولم تطلبه، أغلق الرسالة فوراً وتوجه لخطوات الفحص الفني المتقدمة.
🔍 أولاً: التشريح الفني ومؤشرات الاختراق (Indicators of Compromise)

عند النظر إلى الرسالة للوهلة الأولى، تبدو رسمية للغاية؛ حيث تستخدم الألوان والشعارات الرسمية للشركة المستهدفة، وتدعي أن هناك مستنداً سرياً وهاماً يجب عليك الاطلاع عليه عبر زر “VIEW COMPLETED DOCUMENT”. لكن إذا وضعنا الرسالة تحت مجهر الفحص الرقمي، سنجد علامات قاتلة تفضح هذا الفخ:
1. العلامة القاتلة الأولى: تزوير اسم المرسل (Email Spoofing)
عند النظر إلى اسم المرسل الظاهري في صندوق الوارد، يظهر الاسم البرمجي المُعدل: Document Completed. لكن بمجرد الضغط على الاسم لإظهار البريد الإلكتروني الحقيقي المخفي خلف القناع البصري، صُدمنا بالبريد التالي:
📧 suzran@kca.biglobe.ne.jp
تحليل ديجيتال شيلد: هذا النطاق (Domain) يتبع مزود خدمة إنترنت ياباني عام عام وليس له أي خادم بريد (Mail Server) معتمد أو صلة وثيقة مطلقاً بشركة DocuSign.com الرسمية. المهاجم هنا نجح في تعديل الاسم المعروض (Display Name) ولكنه فشل في تزوير النطاق الحقيقي الصادر منه الطلب.
2. ذكاء فلاتر البريد والتحقق الرقمي (iCloud Junk Filter)
الرسالة تم عزلها تلقائياً داخل مجلد البريد العشوائي (Junk / Spam). هذا لم يحدث بالصدفة؛ بل لأن خوارزميات الحماية فحصت سجلات الأمن الرقمي للنطاق المرسل ووجدت خللاً كارثياً في البروتوكولات الثلاثة التالية:

Plaintext
1. SPF (Sender Policy Framework): فحص هل السيرفر الياباني مسموح له تقنياً بالإرسال نيابة عن DocuSign؟ (النتيجة: Fail).
2. DKIM (DomainKeys Identified Mail): فحص التوقيع الرقمي المشفر للرسالة للتأكد من عدم تعديلها. (النتيجة: Fail).
3. DMARC: القرار البرمجي الذي اتخذه سيرفر الاستقبال بعزل الرسالة فوراً بناءً على فشل السجلين السابقين.
3. تكتيك الهندسة الاجتماعية: خلق “حالة الذعر والفضول”
يستخدم المهاجم عبارة صريحة:
“This document is confidential, kindly view secured document” (هذا المستند سري، يرجى الاطلاع على المستند المؤمن).
كتابة كلمة “سري” أو “عاجل” أو “مستند مالي” هي تكتيك هندسة اجتماعية خبيث يستهدف تحفيز الأدرينالين لدى الضحية، ودفعه بالفضول المحض للضغط سريعاً دون تفكير أو تدقيق تقني لمعرفة ما يحتويه المستند الموجه إليه.
📊 جدول المقارنة السريعة: كيف تفرق بين البريد الحقيقي والمزيف؟
| العنصر الفني | البريد الرسمي (DocuSign) | بريد التصيد (Phishing) |
| عنوان المرسل الحقيقي | ينتهي دائماً بـ @docusign.com أو نطاق فرعي رسمي للشركة. | ينتهي بنطاقات غريبة، عامة، أو خدمات مجانية (.ne.jp, .ru, .xyz). |
| روابط الأزرار (URLs) | تبدأ ببروتوكول آمن وتشير مباشرة للدومين الرئيسي للشركة. | تشير إلى مواقع مخترقة أو صفحات مخصصة لسرقة البيانات. |
| لغة ومحتوى الخطاب | موجه باسمك الثنائي الصريح وتفاصيل معاملتك الحقيقية. | صيغ عامة وعشوائية تستهدف الفضول والذعر الجغرافي. |
| حالة فلتر الأمان | يصل مباشرة إلى صندوق الوارد الرئيسي (Inbox). | يتم توجيهه أو وسمه كـ (Spam / Junk) من قِبل المزود. |
🛑 ثانياً: ماذا يحدث إذا ضغطت على الزر الأخضر؟ (سيناريو الهجوم الحقيقي)
هذا الزر الجاذب لا يؤدي إلى مستندات؛ بل هو بوابة برمجية تحتوي على رابط خبيث مُعد مسبقاً. بمجرد الضغط عليه، يتم تحويل مسار الضحية إلى أحد السيناريوهين التاليين في مختبرات الهكر:
- حصاد البيانات واعتماد الدخول (Credential Harvesting): يتم توجيهك إلى صفحة ويب مزيفة تم تصميمها وتطويرها لتشبه تماماً صفحة تسجيل دخول DocuSign أو Microsoft 365. بمجرد أن تقوم بكتابة بريدك الإلكتروني وكلمة المرور السرية لرؤية المستند، يتم إرسال هذه البيانات فوراً عبر بروتوكول
POSTإلى خادم المخترق، ليقوم في ثوانٍ بالاستيلاء على حساباتك الحقيقية. - حقن البرمجيات الخبيثة (Malware Delivery): في بعض الهجمات المعقدة، بمجرد فتح الرابط، يستغل المهاجم ثغرة في المتصفح غير المحدث (Drive-by Download) ليقوم بتحميل ملف ضار مخفي (مثل ملف مضغوط
.zipأو ملف تنفيذي.exeمموه كأنه مستند PDF). هذا الملف يتسلل إلى نظام التشغيل لديك لزرع برمجية تجسس أو برمجيات الفدية (Ransomware) لتشفير قرصك الصلب بالكامل.
🕵️♂️ زاوية الـ OSINT: كيف يفحص المحقق الرقمي نطاق البريد؟
إذا كنت باحثاً جنائياً رقمياً أو تعمل في مجال الـ OSINT، لا تكتفي بمسح الرسالة؛ بل نقوم بجمع معلومات الاستخبارات عن النطاق المشبوه لمعرفة مصدر الهجوم. يمكنك فتح الترمينال واستخدام أمر whois لفحص النطاق الياباني الذي فضح المهاجم:
Bash
whois kca.biglobe.ne.jp
هذا الأمر سيكشف لك تاريخ تسجيل النطاق، الجهة المسؤولة عنه، والخوادم التي يتدفق منها البريد الاحتيالي، مما يساعد فرق الاستجابة للحوادث (Incident Response) على تحديث جدران الحماية وحظر الهجوم على نطاق واسع.
🛡️ ثالثاً: البروتوكول الأمني للتعامل مع الرسالة (خطة العمل الصارمة)
لحماية مؤسستك وأجهزتك الشخصية، اتبع هذا البروتوكول الأمني الرباعي فوراً عند استقبال أي بريد مشبوه:
- التوقف التام والتحليل النفسي (Stop & Think): لا تقم بالضغط على أي روابط داخل المتن، لا تقم بتحميل أو فتح أي مرفقات مصاحبة، وتجنب الرد على الرسالة نهائياً لأن الرد يؤكد للمخترق أن بريدك نشط ومستهدف جيد.
- فحص الروابط بالحذر البصري (Hovering Technique): إذا كنت تستخدم جهاز كمبيوتر، قم بتمري مؤشر الفأرة فوق الزر الأخضر بدون الضغط عليه. انظر إلى أسفل الشاشة في المتصفح؛ سيظهر لك الرابط الفعلي المخفي خلف الزر، وستكتشف فوراً أنه يؤدي لموقع غريب لا علاقة له بالشركة المزعومة.
- تفعيل الحظر الرقمي وفلترة المرسل (Block Sender): اتبع خيارات لوحة التحكم في بريدك؛ اضغط فوراً على خيار “Block Sender” لحظر هذا العنوان نهائياً من إرسال أي رسائل أخرى، ثم قم بالإبلاغ الفوري عنه للجهة المزودة عبر الضغط على “Report Phishing”.
- التطهير والحذف النهائي (Shred & Delete): انقل الرسالة فوراً إلى سلة المهملات، ثم قم بتهيئة السلة وحذفها نهائياً لضمان عدم الضغط عليها مستقبلاً بالخطأ من قِبل أي شخص آخر يستخدم الجهاز.
💡 الوعي هو خط الدفاع الأول!
لمزيد من أدلة الدفاع السيبراني العملي، اختر التخصص الذي ترغب في تأمينه الآن


