خلال السنوات الثلاث الماضية، كانت مرفقات البريد الإلكتروني البسيطة واحدة من أكثر ناقلات البرامج الضارة والأنواع الأخرى من التعليمات البرمجية الضارة شيوعًا. وبشكل أكثر تحديدًا، أصبحت المرفقات المشفرة بلغة تمييز النص التشعبي أو HTML، وسيلة شائعة بشكل متزايد لارتكاب عدد من الجرائم الإلكترونية المختلفة (والمتطورة بشكل متزايد)، بما في ذلك تزييف الهوية عبر فيروسات حصان طروادة للوصول عن بُعد (RATs)، وهجمات برامج طلب الفدية، والرسائل الخادعة للتصيد الاحتيالي. ومما يثير القلق أن هذه ليست حادثة معزولة أو نوعًا من الهجوم الجماعي من أحد عملاء التهديد؛ ويبدو الآن أن مرفقات HTML الضارة هي الخيار المفضل للعديد من المتسللين الفرديين حول العالم في عام 2023.
برزت هذه التقنية التي يُشار إليها أحيانًا باسم "تهريب HTML" في الحالات الأكثر تعقيدًا حيث تكون الحمولة الضارة موجودة في مرفق HTML نفسه (على الرغم من أنها معروفة منذ زمن طويل وتُستخدم من قبل العديد من مجرمي الإنترنت على مر السنين) من خلال حملة تصيد احتيالي موجه نفذها عميل التهديد البارز NOBELIUM. وفي السنوات الأخيرة، تم استخدام هذه التقنية لتوصيل مجموعة من البرامج الضارة المعروفة، بما في ذلك Mekotio (فيروس حصان طروادة المصرفي سيئ السمعة) وTrickbot وAsyncRAT/NJRAT. ومع ظهور هذا النوع من الجرائم الإلكترونية وإصابة واحد من بين كل ثلاثة منازل في الولايات المتحدة بنوع من البرامج الضارة، من المهم فهم كيفية عمل هجمات مرفقات HTML الضارة (وتهريب HTML)، وكيفية الحماية منها. ولهذا السبب أنشأنا هذا الدليل لمرفقات HTML وتهريب HTML، حتى تشعر براحة البال أينما تريد الوصول إلى رسائل بريدك الإلكتروني.
ما المقصود بمرفقات HTML الضارة؟
تعد مرفقات HTML الضارة أحد أنواع البرامج الضارة التي توجد عادةً في رسائل البريد الإلكتروني في شكل مرفقاتها. ويتم تنشيطها، بشكل أساسي، عندما ينقر المستخدم على مرفق ملف HTML المصاب. بمجرد فتحه، تتم إعادة توجيه المستخدم عبر مكتبات JavaScript مستضافة خارجيًا إلى موقع التصيد الاحتيالي الخاص بالمتسلل (أو أي شكل آخر من أشكال المحتوى الضار الذي يتحكم فيه المهاجم، مثل صفحة تسجيل الدخول). وفي كثير من الأحيان تبدو الأشكال الأكثر شهرة لهذا النوع من عمليات التصيد الاحتيالي بتنسيق HTML وكأنها نافذة منبثقة من Microsoft. وستطلب النافذة من المستخدم إدخال نوع من بيانات الاعتماد الشخصية / بيانات تسجيل الدخول التي ستسمح له بتنزيل مرفق ملف HTML الذي تم استلامه في البريد الإلكتروني للمتسلل. وبمجرد إدخال بيانات المستخدم، يتم إرسالها إلى المتسلل للمزيد من الاستغلال، بما في ذلك السرقة المالية وتزييف الهوية والابتزاز من خلال برامج طلب الفدية.
ماذا يعني تهريب HTML؟
يستخدم تهريب HTML، المعروف بأنه شكل أكثر تقنية لهجوم البرامج الضارة لمرفقات HTML، روابط HTML 5 وJavaScript للسماح لمجرم إلكتروني "بتهريب" تعليمات برمجية ضارة إلى كمبيوتر الضحية عبر برنامج نصي مصمم بشكل فريد، ومُضمن في مرفق HTML نفسه. وعندما يفتح ضحية الهجوم مرفق HTML الضار في مستعرض الويب، يفك المستعرض تشفير البرنامج النصي المُضمن، الذي يجمع الحمولة على الكمبيوتر الخاص بالضحية. ويتيح ذلك للمتسلل إنشاء البرامج الضارة محليًا خلف جدار الحماية الخاص بالضحية.
يستفيد هذا النوع من الهجمات من حقيقة أن كلاً من HTML وJavaScript يعدان من أكثر الأجزاء شيوعًا وأهمية في الحوسبة اليومية الموثوقة (في سياق الأعمال والاستخدام الشخصي). ونتيجة لذلك، تستطيع هذه التقنية بعد ذلك تجاوز برامج مراقبة الأمان القياسية (مثل الخوادم الوكيلة للويب وبوابات البريد الإلكتروني) التي تتحقق فقط من التوقيعات المستندة إلى حركة المرور أو أنواع المرفقات المشبوهة تقليديًا مثل .EXE أو .ZIP أو .DOCX. ونظرًا لأنه يتم إنشاء الملفات الضارة بعد تحميل الملف عبر المستعرض على جهاز الضحية، فإن حلول الأمان القياسية ستسجل فقط حركة مرور HTML وJavaScript غير الضارة. بالإضافة إلى ذلك، تسمح تقنيات الجرائم الإلكترونية الأكثر تقدمًا مثل "التشويش" للمتسللين بإخفاء نصوصهم البرمجية الضارة بنجاح عن برامج الأمان الأكثر تقدمًا.
يعمل تهريب HTML من خلال الاستفادة من سمة "التنزيل" لعلامات الارتباط التشعبي واستخدام كائنات JavaScript Blobs لتجميع الحمولة على جهاز الضحية. وبمجرد النقر على السمة "تنزيل"، فإنها تسمح لملف HTML بتنزيل الملف الضار المشار إليه في علامة "href" تلقائيًا. وباستخدام JavaScript، يتم تنفيذ عملية مماثلة: تخزن كائنات JavaScript Blobs البيانات المشفرة للملف الضار، ويتم فك تشفيرها بعد ذلك عند تمريرها إلى واجهة مستخدم JavaScript التي تتوقع عنوان URL. وهذا يعني أنه يتم تنزيل الملف الضار تلقائيًا وإنشاؤه محليًا على جهاز الضحية باستخدام التعليمات البرمجية للغة JavaScript.
الأنواع الأخرى من مرفقات البريد الإلكتروني الضارة
نظرًا لأن HTML أحد أكثر أنواع المرفقات شيوعًا لتهريب البرامج الضارة إلى نظام المستخدم، من المهم أن تكون على دراية بأنواع الملفات الشائعة الأخرى التي قد تكون مماثلة من حيث الخطورة:
ملفات .EXE
كما ذكرنا سابقًا، تعد ملفات .EXE أو الملفات القابلة للتنفيذ على نظام التشغيل Windows من ناقلات التهديد الشائعة (والمعروفة) التي يجب أن تبحث عنها. وإذا رأيت أحد هذه العناصر في رسالة بريد إلكتروني (من مرسل موثوق به أو غيره)، فيجب عليك تجنب تنزيل الملف والتعامل معه.
ملفات .ISO
تُستخدم ملفات ISO عادةً لتخزين وتبادل نسخة من كل شيء على محرك أقراص بجهاز كمبيوتر وتوزيع الأنظمة مثل Apple أو Windows. ونظرًا لأن نظام التشغيل Windows يمكنه الآن تحميل هذه الملفات دون أي برامج إضافية، فقد اكتسب هذا النوع من مرفقات البرامج الضارة شعبية في السنوات الأخيرة. ومع ذلك، إذا تلقيت هذه الملفات عبر حساب بريد إلكتروني شخصي أو احترافي ولم تطلب نظامًا كاملاً أو لا تُقسم جهاز الكمبيوتر الخاص بك لتشغيل أنظمة تشغيل متعددة، فليست هناك حاجة لتنزيل هذا الملف. لذلك، في جميع الحالات تقريبًا، تجنب تنزيله واحذف هذا الملف من صندوق الوارد، لأنه من المؤكد تقريبًا أنه برنامج ضار.
ملفات Microsoft Office
نظرًا لأن ملفات Microsoft Office (مثل .DOCX أو .XLSX أو .PPTX) شائعة الاستخدام باعتبارها التنسيقات القياسية للأعمال في جميع أنحاء حول العالم، فهي الوسيلة المثالية لنقل جميع أنواع البرامج الضارة إلى الشركات دون علمها. وهي أيضًا أصعب التهديدات التي يمكن الوقاية منها وتظهر عادة في شكل فاتورة عاجلة أو مطالبة نهائية، مما يؤدي إلى خداع الضحية لفتح الملفات.
كيفية الحماية من مرفقات HTML الضارة
لحسن الحظ، يوجد عدد من الخطوات التي يمكنك اتخاذها للحد والحماية من التهديد الذي تشكله مرفقات HTML الضارة.
نظام فحص البريد الإلكتروني وحمايته
يمثل نظام فحص وحماية البريد الإلكتروني المخصص خط الدفاع الأول ضد مرفقات البريد الإلكتروني الضارة والبرامج النصية المُضمنة. ومع ذلك، كما هو مذكور أعلاه، فإن أنظمة الأمان القياسية لا تكفي للسيطرة على التهديد المتطور الذي يشكله مجرمو الإنترنت اليوم. واليوم، يوصي متخصصو الأمن الإلكتروني بحل مكافحة الفيروسات الذي يتضمن التعلم الآلي وتحليل التعليمات البرمجية الثابتة، والذي يتولى تقييم المحتوى الفعلي للبريد الإلكتروني وليس فقط مرفقاته. وللحصول على حل متقدم للأمن الإلكتروني عبر الإنترنت، نوصي باستخدام Kaspersky Premium. ويناسب هذا النظام الحائز على الجوائز كل من الشركات والمستخدمين الشخصيين، وتتضمن باقتنا المتميزة المساعدة عن بُعد والدعم على مدار الساعة طوال أيام الأسبوع.
ضوابط الوصول الصارمة
حتى في حالة حدوث خرق أو فقدان لبيانات الاعتماد، فإن تقييد وصول المستخدم إلى الموظفين الأساسيين يعد طريقة رائعة لتقليل الضرر الذي يمكن أن يلحقه مجرم الإنترنت بشكل واقعي. ويجب عليك أيضًا التأكد من أن المستخدمين الذين يمكنهم الوصول إلى الأنظمة الحيوية يستخدمون المصادقة متعددة العوامل (يشار إليها أحيانًا باسم MFA، أو التحقق ثنائي العوامل، أو 2FA) لتقليل التعرض بشكل أكبر عن طريق إضافة طبقة أخرى إلى إستراتيجية الأمن الإلكتروني لديكم. بالإضافة إلى ذلك، هناك طريقة مهمة لحماية الأصول الحيوية من أخطاء وصول الموظفين (خاصة إذا كانوا يعملون عن بُعد) وهي عن طريق استخدام شبكة افتراضية خاصة أو VPN. يسمح تطبيق VPN من Kaspersky للمستخدمين بالاتصال بخوادم شركاتهم عن بعد عبر قناة رقمية مشفرة. وتحمي هذه القناة نظامهم من المخاطر المحتملة لشبكة Wi-Fi العامة واتصالات الإنترنت غير الآمنة أينما كانوا في العالم.
التدريب على الأمن الإلكتروني وأفضل الممارسات
تعد واحدة من أسهل الطرق للحفاظ على أمان أي أصول ثمينة من هجوم مرفقات HTML هي تدريب موظفيك (أو نفسك) على أفضل ممارسات الأمن الإلكتروني وكيفية اكتشاف رسائل البريد الإلكتروني والملفات والمرفقات المشبوهة. ويتضمن ذلك عدم مشاركة أي كلمات مرور أو بيانات اعتماد تسجيل الدخول الخاصة بالشركة مع الزملاء، وعدم إعادة استخدام كلمات المرور لبرامج أو حسابات متعددة (نوصي باستخدام مدير كلمات المرور أو مخزن، والذي يشفر كلمات مرورك ويملأ كل منها تلقائيًا عند الحاجة)، واستخدام كلمة مرور أو عبارة مرور قوية دائمًا (10-12 حرفًا، تحتوي على مزيج من الأحرف الخاصة والأرقام والأحرف الكبيرة والصغيرة).
الأسئلة الشائعة عن مرفقات HTML
ما المقصود بمرفقات HTML؟
مرفقات HTML هي ملفات مرفقة برسائل البريد الإلكتروني يتم ترميزها بلغة تمييز النص التشعبي. وفي السنوات القليلة الماضية، أصبحت مرفقات HTML الضارة (تلك التي تحتوي على برامج ضارة مُضمنة أو روابط مستندة إلى JavaScript لمواقع ويب التصيد الاحتيالي) ناقلات شائعة لمجرمي الإنترنت الذين يتطلعون إلى تجاوز جدران حماية البريد الإلكتروني وأنظمة الحماية.
هل يمكن أن تحتوي ملفات HTML على فيروسات؟
نعم، يمكن أن تحتوي ملفات HTML على فيروسات وأنواع أخرى من البرامج الضارة، بما في ذلك الرسائل الخادعة للتصيد الاحتيالي وبرامج طلب الفدية. ويُعرف هذا النوع من الهجمات الإلكترونية بمرفقات HTML الضارة أو هجوم تهريب HTML. ويتضمن استخدام روابط JavaScript لتزييف نوافذ تسجيل الدخول أو برامج ضارة مُضمنة لاستغلال بيانات اعتماد المستخدم وملفاته الشخصية.
هل يمكن أن تكون ملفات HTML خطيرة؟
نعم، يمكن أن تشكل ملفات HTML (بما في ذلك المرفقات الموجودة في رسائل البريد الإلكتروني) خطرًا كبيرًا على نظامك. وفي السنوات الأخيرة، شهد متخصصو الأمن الإلكتروني ارتفاعًا في الهجمات الإلكترونية المعقدة باستخدام مرفقات HTML الضارة لسرقة البيانات الشخصية. وغالبًا ما يُشار إلى هذا النوع من الهجمات باسم تهريب HTML.
ماذا يعني تهريب HTML؟
تهريب HTML هو أحد أشكال الهجمات الإلكترونية الشائعة بشكل متزايد التي تستخدم لغة تمييز النص التشعبي (عادةً HTML 5) وJavaScript من أجل "تهريب" أشكال مختلفة من البرامج الضارة إلى نظام المستخدم. ويمكن لتهريب HTML أن يتجاوز بروتوكولات حماية البريد الإلكتروني التقليدية والسماح للمتسلل ببناء البرامج الضارة محليًا خلف جدار الحماية الخاص بالضحية.
مقالات ذات صلة:
- ما هي برامج إدارة كلمات المرور وهل هي آمنة؟
- ما هي برامج طلب الفدية؟
- ما المقصود بالبريد العشوائي والرسائل الخادعة للتصيَّد الاحتيالي؟
- ما المقصود بفيروسات حصان طروادة وما أنواعها؟
المنتجات المقترحة: