تراجع استغلال المتصفحات مع تحول المستخدمين إلى السطح المستهدف

بالنسبة للمتصفحات، أصبح الاستغلال شيئًا من الماضي، بينما أصبح إجبار المستخدمين على التسبب في تعريض أنظمتهم للخطر هو الاتجاه السائد. لقد أجبرت تحسينات أمان المتصفحات المهاجمين على تعديل تكتيكاتهم، وقد قبلوا هذا التحدي.

تستمر استغلالات المتصفحات في إزعاج أمان المؤسسات. في مايو، قامت مايكروسوفت بإصلاح ثغرة في المتصفح قد تسمح للمهاجمين بإجبار مستخدمي Edge على الدخول في وضع التوافق مع Internet Explorer، مما يقلل من حماية الأمان. قبل عام، قامت جوجل بإصلاح ثلاث ثغرات في متصفح Chrome الخاص بها - اثنتان يمكن أن تؤديان إلى هروب من الصندوق الرملي وواحدة قد تسمح بتنفيذ التعليمات البرمجية.

على الرغم من استمرار تدفق ثغرات المتصفح، إلا أن الهجمات المباشرة على المتصفحات في تراجع، وفقًا للخبراء. بينما شكلت ثغرات المتصفح حوالي 2% من جميع العيوب المبلغ عنها منذ عام 2017، وفقًا لقاعدة بيانات الثغرات الوطنية، أصبحت الهجمات أكثر صعوبة. تتطلب معظم استغلالات المتصفح سلسلة استغلال - سلسلة من الهجمات ضد مجموعة من الثغرات - بدلاً من استغلال واحد يعرّض المتصفح بالكامل للخطر.

بشكل عام، تتجه هجمات المتصفح بعيدًا عن الاستغلال المباشر، كما يقول راي كانزانيز، مدير مختبرات التهديدات في شركة Netskope لأمان السحابة. "لقد تجاوزنا عصر أدوات الاستغلال الذهبي. لقد تحسنت المتصفحات كثيرًا،" كما يقول. "إنها أكثر صلابة. الصندوق الرملي أفضل. التصحيحات أفضل. لم يعد Adobe Flash Player هو الشيء الذي يمكن استغلاله من قبل الكثير من تلك الأدوات. لذا بشكل عام، لا، ليست هناك استغلالات."

بدلاً من ذلك، يستخدم المهاجمون المتصفحات كنقطة دخول أولية لسلسلة هجمات تركز على المستخدم النهائي. في عام 2024، استخدمت 70% من الهجمات تحميلًا عبر المتصفح للحصول على موطئ قدم في نظام المستخدم، ارتفاعًا من 58% في عام 2023، وفقًا لتحليل في يناير 2025 للبيانات التي أصدرتها وحدة استجابة التهديدات في شركة eSentire. الهجمات التي تجمع بين الهندسة الاجتماعية والطرق المعتمدة على المتصفح - مثل ClickFix - في ارتفاع.

تستمر العديد من الهجمات التقليدية، مثل التصيد والإعلانات الضارة، في كونها تهديدات - خاصة مع انخفاض تكلفة إنشاء الفخاخ بفضل روبوتات الدردشة الذكية - لكن المهاجمين يتحولون إلى استخدام وظائف المتصفح الشرعية بطرق غير مقصودة، وفقًا للخبراء. تعتبر إضافات المتصفح، على وجه الخصوص، نقطة ضعف كبيرة لأنه إذا تمكن المهاجمون من إقناع موظف بتشغيل إضافة مخترقة، أو خداع مطور الإضافة للسماح بالتعديلات، أو ببساطة شراء مشروع إضافة شائعة، فإن لديهم وسيلة لتجاوز أمان المتصفح.

تجاوز المتصفحات للهجوم

ليس من المستغرب أن يستمر التركيز على المتصفحات. عند إجراء هجمات تعتمد على المتصفح، يركز المهاجمون على سرقة بيانات الاعتماد للوصول إلى خدمات السحابة أو التحرك بشكل جانبي، أعمق في الشبكة. تعتبر سرقة البيانات الحيوية ومجموعة متنوعة من الرموز أو بيانات الاعتماد الأهداف الرئيسية، بينما قد تكون الحمولة النهائية هي برامج الفدية أو نوع آخر من البرمجيات الخبيثة، بهدف تعطيل العمليات واستخراج الفديات، كما يقول نيكو بيبيز، المدير الأول لاستراتيجية الأمن السيبراني في Menlo Security.

"يستهدف المهاجمون المتصفحات لأنها بوابة لكل ما يفعله الموظفون عبر الإنترنت،" كما يقول. "تعتبر المتصفحات موثوقة بشكل فطري من قبل المستخدمين، مما يجعلها هدفًا رئيسيًا للمهاجمين لاستغلال هذه الثقة والحصول على موطئ قدم في المؤسسة."

بينما تبقى الاستغلالات عند 4%، فإن حصة الهجمات التي تعتمد على المتصفح قد زادت. المصدر: eSentire

الهجوم على شركة Cyberhaven للأمن السيبراني قام بذلك بالضبط. استهدفت إشعار مزيف من جوجل مطوري Cyberhaven، مما أقنع أحد الموظفين بمنح الوصول إلى ما بدا أنه تطبيق شرعي. استغل الهجوم اعتماد متجر جوجل كروم على إطار عمل OAuth لتحميل تعديلات ضارة على إضافات موثوقة.

من المحتمل أن تكون هناك هجمات أكثر تقدمًا في الطريق أيضًا. قامت شركة SquareX لأمان المتصفح بتطوير طرق، تُعرف باسم "هجمات إعادة التجميع في الميل الأخير"، لتجاوز بوابات الويب الآمنة. كما وجدت الشركة طرقًا لاستخدام المتصفح لتشفير التنزيلات وملفات أخرى، تُعرف باسم "برامج الفدية الأصلية للمتصفح"، كما يقول فيفيك راماشاندران، مؤسس ومدير تنفيذي لشركة SquareX.

إنه هجوم "يعيش ويموت في المتصفح،" كما يقول. "لا يتطلب أي ملفات أو عمليات محلية، مما يسمح له بتجاوز حلول مكافحة برامج الفدية الحالية وحلول الكشف والاستجابة للنقاط النهائية (EDR)."

استهداف أدوار العمال المحددة

بينما تستمر الهجمات عالية الحجم على المتصفحات في التركيز على المستهلكين، فإن الهجمات التجارية التي تستهدف العمال أو منظمات محددة هي بطبيعتها منخفضة الحجم ولكن من الضروري وقفها، كما يقول كانزانيز من Netskope. الرسائل الإلكترونية التي تستخدم فخاخًا موجهة للأعمال أو إعلانات ضارة وتسمم محركات البحث التي تركز على المعلومات والمصطلحات التجارية أصبحت شائعة بشكل متزايد، كما يقول.

"مع هذه المصطلحات المستهدفة في تسمم محركات البحث، يمكنك أن تكون محددًا حقًا، لذا رأينا بعض المصطلحات التي كانت واضحة أنها ليست مواضيع استهلاكية، مما يعني بالتأكيد أنها كانت تستهدف مستخدمي الأعمال،" كما يقول. "لقد رأينا أدلة لأجهزة باهظة الثمن جدًا لا يستخدمها أي مستهلك كطعم. لذا فهي مزيج بنفس الطريقة التي تكون بها هجمات البريد الإلكتروني مزيجًا."

بالإضافة إلى ذلك، يركز المهاجمون على أدوار محددة: التنفيذيون، مجموعات المالية، والمطورون، كما يقول راماشاندران من SquareX.

"تستهدف العديد من هذه الهجمات جميع الموظفين؛ ومع ذلك، نحن نشهد بالفعل بعض الهجمات التي تستهدف المستخدمين المتميزين الذين لديهم وصول إلى المزيد من موارد الشركة، [مثل] فرق الأمان وتكنولوجيا المعلومات، التنفيذيين، المسؤولين الحكوميين، وفي حالة هجوم Cyberhaven، المطورين في شركات التكنولوجيا الذين لديهم وصول كامل إلى قاعدة بيانات الشركة،" كما يقول، مضيفًا أن "اختراق موظف واحد الآن يتيح الوصول ليس فقط إلى بياناتهم ولكن أيضًا إلى أي موارد أخرى للشركة مشتركة معهم."

إن زيادة هجمات المتصفح مدفوعة أيضًا بعامل آخر: زيادة العمل عن بُعد، حيث يعمل الموظفون والأطراف الثالثة غالبًا من شبكات منزلية غير آمنة وأجهزة شخصية، كما يقول بيبيز من Menlo Security.

"هذا التحول خارج الحدود التقليدية للشركات يمنح المهاجمين المزيد من الفرص لاستغلال ثغرات المتصفح وسلوك المستخدم، مما يزيد من مخاطر التصيد، والبرمجيات الخبيثة، وانتهاكات البيانات،" كما يقول.

ما وراء دفاعات السحابة

يمكن أن تساعد الأساليب المعتمدة على السحابة، مثل بوابات الويب الآمنة (SWGs) ووسطاء أمان الوصول السحابي (CASBs) في تصفية التهديدات المعروفة، والنطاقات الخطرة، والشفرات المشبوهة، ولكنها قد تفوت الهجمات المعقدة المعتمدة على المتصفح، كما يقول بيبيز. يمكن أن تساعد حلول الأمن السيبراني من جانب العميل، مثل EDR، في اكتشاف الأنشطة المشبوهة، ولكن فقط بعد أن يتمكن المهاجمون من الحصول على بعض الوصول داخل الشبكة.

من ناحية أخرى، فإن أقوى أساليب الدفاع - عزل المتصفح عن بُعد (RBI) - تأتي مع تحديات تتعلق بتجربة المستخدم وقابلية التوسع، كما يقول. يضيف: "تحتاج المؤسسات إلى حلول مصممة من الأساس للأمان، مع ميزات مدمجة مباشرة في المتصفح لحماية المستخدمين، وخاصة أولئك الذين يعملون عن بُعد."

أصبحت متصفحات المؤسسات حلاً شائعًا، ولكن يمكن أن تواجه بعض المشكلات المتعلقة بقابلية التوسع مثل RBI. تحاول الحلول المعتمدة على ملحقات المتصفح إضافة الأمان والتتبع مع إزالة الحاجة إلى متصفح مخصص. في كلا الحالتين، تحصل المنظمة على معلومات حول استخدام المتصفح والقدرة على تنفيذ ضوابط الأمان، كما يقول راماشاندران.

يقول: "تكتسب الحلول المعتمدة على الملحقات شعبية لأنها متوافقة مع جميع المتصفحات والأجهزة، وتوفر نفس ميزات أمان المتصفح مثل متصفحات المؤسسات دون عبء النشر."

يجب على الشركات الاستمرار في تتبع تكتيكات المهاجمين، الذين يستمرون في التكيف. يرى كانزانيس أن المهاجمين يركزون على التفويض غير المشروع مستهدفين سير عمل OAuth، وعلى الوكلاء العكسيين الذين يلتقطون رموز المصادقة متعددة العوامل، بينما يقللون من التركيز على مواقع تسجيل الدخول المزيفة البسيطة. يتطلب التحول نحو هجمات ClickFix وهجمات أخرى تتطلب تغيير المتصفح أو إقناع المستخدم بإكمال سلسلة الهجوم رؤية جيدة للتوقف.

يقول كانزانيس: "إذا قمت بتعزيز شيء واحد، فإن المهاجم سيبحث عن الحلقة الأضعف التالية. إذا كان موظفوك يستخدمون أجهزة غير مُدارة، والرقابة الوحيدة التي لديك هي متصفح مؤسسي، فإن إقناع الضحية بمغادرة المتصفح سيكون فعالًا جدًا، لأنك ستدخل حينها بيئة بها ضوابط أمان أقل بكثير."

في ظل تزايد التهديدات الإلكترونية، أصبح المستخدمون هم الهدف الرئيسي للهجمات بدلاً من الثغرات في المتصفحات. هذا التحول يبرز أهمية تعزيز الوعي الأمني بين المستخدمين. مع مرور الوقت، يتعين على الأفراد والشركات تبني ممارسات أمان أفضل لحماية أنفسهم من المخاطر المحتملة.

[IMAGE:N]

[VIDEO:N]

لذا، يجب أن نكون جميعًا أكثر حذرًا ووعياً عند استخدام الإنترنت، مع التركيز على حماية بياناتنا الشخصية.