السبت 04 يوليو 2026 18:31:26 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Techcrook
Geocrook
WikicrookالفريقAppاتصال
ArabicEnglishItaliano

التوعية الأمنية والهندسة الاجتماعية

عندما يكون تسجيل الدخول هو الغنيمة: دليل الاحتيال في كشوف الرواتب وراء سرقة الجلسات عبر AiTM

تستخدم عملية احتيال في كشوف الرواتب، بحسب ما أُبلغ عنه، التصيّد وتقنيات الخصم في الوسط للتجاوز MFA، ثم تعديل تفاصيل الحساب بهدوء داخل بوابات الموارد البشرية والمالية.

لم يعد احتيال كشوف الرواتب يقتصر على كلمات المرور المسروقة وعمليات الاحتيال الواضحة في التحويلات البنكية. في هذه الحالة، تكون الخطوة الخطيرة أبسط وأصعب في الاكتشاف: خداع المستخدم لتسجيل الدخول، واعتراض الجلسة الحية، ثم العمل داخل جلسة متصفح شرعية لفترة كافية لتغيير تفاصيل الدفع. لهذا السبب أصبح تصيّد AiTM نمطًا مستمرًا من أنماط إساءة استخدام الهوية.

حقائق سريعة

  • يُقال إن حملة تحمل اسم Payroll Pirate تستخدم التصيّد واختطاف الجلسات عبر AiTM.
  • الهدف هو تجاوز MFA وإعادة توجيه مدفوعات الرواتب أو الأجور.
  • تعد بوابات الرواتب والموارد البشرية سطح الاستهداف الرئيسي، خاصة في بيئات الشركات المتوسطة والمؤسسات الكبيرة.
  • يمكن أن تتضمن سلسلة الهجوم سرقة بيانات الاعتماد، واعتراض الجلسة في الوقت الحقيقي، وتغييرات دقيقة في الملف الشخصي.
  • تعد MFA المقاومة للتصيّد والإبطال السريع للجلسات نقطتي ضغط دفاعيتين رئيسيتين.

كيف تعمل الخدعة

تضع هجمات AiTM وكيلا بين الضحية والخدمة الحقيقية. يعتقد المستخدم أنه يقوم بتسجيل الدخول بشكل طبيعي، لكن المهاجم يمرر الجلسة في الوقت الحقيقي ويلتقط الرمز أو ملف تعريف الارتباط الذي يثبت نجاح تسجيل الدخول. بمجرد حدوث ذلك، قد تكون MFA قد استُوفيت بالفعل، ولهذا السبب يمكن للمهاجم أحيانًا إعادة استخدام الجلسة دون الحاجة إلى الضحية مرة أخرى.

تكتسب هذه المسألة أهميتها الكبرى في أنظمة الموارد البشرية والرواتب، حيث يمكن لحساب واحد مصادق عليه أن يكشف تفاصيل الحساب البنكي للموظف، وضوابط الإيداع المباشر، وإعدادات الإشعارات. إذا تمكن المهاجم من الوصول إلى هذا المسار، فعادة ما يكون الهدف هو التلاعب الهادئ بدلًا من التدمير الصاخب. قد تكون تعديلات صغيرة في الملف الشخصي كافية لتحويل الراتب إلى حساب يسيطر عليه المهاجم.

يصنف MITRE أسلوب الخصم في الوسط باعتباره ATT&CK T1557. والدرس الأساسي ليس أن MFA عديمة الفائدة، بل أن MFA التقليدية ليست مثل MFA المقاومة للتصيّد. قد تتجاوز هجمات AiTM الأساليب القابلة لإعادة الاستخدام مثل رموز SMS وموافقات الدفع وغيرها إذا تمكن المهاجم من التقاط جلسة حية.

حتى وقت كتابة هذا النص، لم تثبت المعلومات العامة بالكامل السبب التقني الجذري، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق.

ما الذي ينبغي للمدافعين مراقبته

غالبًا ما يتمثل الخطر التشغيلي في النشاط اللاحق: مطالبات إعادة المصادقة غير المتوقعة، ومواقع تسجيل دخول غريبة، وقواعد بريد وارد مشبوهة، وإعادة تشغيل الرموز من أجهزة غير معتادة، وتغييرات في حقول البنك أو الرواتب. هذه هي المؤشرات التي قد تدل على اختطاف الجلسة بدلًا من مجرد تخمينها.

من منظور دفاعي، تساعد MFA المقاومة للتصيّد على تقليل مخاطر التصيّد القائم على الوكيل، لكنها ليست حلًا كاملًا. تظل حوكمة الجلسات مهمة: ألغِ الرموز بسرعة، واطلب إعادة المصادقة عند تغير مستوى المخاطر، وراجع الحسابات بحثًا عن إساءة استخدام القواعد أو تعديلات ملف الدفع. قد تساعد المصادقة خارج النطاق لتحديثات بيانات البنك في منع التعديلات الاحتيالية، خاصة عندما يمكن لتغييرات الرواتب أن تنقل الأموال بأقل قدر من المقاومة.

الخلاصة

الدرس الأوسع هو أن أمن الهوية لم يعد يتوقف عند مطالبة كلمة المرور. إذا تمكن المهاجم من السيطرة على الجلسة، فغالبًا ما يمكنه التصرف كالمستخدم الحقيقي إلى أن يلاحظ أحدهم الأثر. وهذا يجعل أنظمة الرواتب خطيرة بشكل خاص لأن الخطوة الأخيرة ليست دائمًا خرقًا للبيانات - أحيانًا تكون مجرد رقم تم تغييره في الحقل الصحيح.

TECHCROOK

مفتاح أمان عتادي: مفتاح الأمان العتادي هو خيار عملي للحسابات التي تدعم MFA المقاومة للتصيّد. يضيف عاملًا ماديًا ويمكن أن يقلل الاعتماد على الرموز القابلة لإعادة الاستخدام أو مطالبات الدفع. قم بإقرانه بمراقبة الجلسات والإبطال السريع للرموز، خاصةً لتسجيلات الدخول إلى الرواتب والموارد البشرية والمالية.

Scheda Techcrook: hardware security key

WIKICROOK

  • AiTM: خصم في الوسط، وهي تقنية وكيل تعترض حركة مرور المصادقة ورموز الجلسات في الوقت الحقيقي.
  • رمز الجلسة: بيانات اعتماد تثبت أن المستخدم قد تمت مصادقته بالفعل، وغالبًا ما تُخزن كملف تعريف ارتباط أو رمز حامل.
  • MFA المقاومة للتصيّد: أساليب مصادقة مصممة لمقاومة هجمات إعادة الاستخدام والوكيل، مثل أدوات المصادقة التشفيرية.
  • بوابة الرواتب: نظام ويب يُستخدم لإدارة إعدادات أجور الموظفين وتفاصيل الإيداع والإجراءات ذات الصلة بالموارد البشرية.
  • إبطال الجلسة: عملية إلغاء صلاحية جلسات تسجيل الدخول النشطة حتى لا يمكن إعادة استخدام الرموز المسروقة.