كيف يستخدم القراصنة هجمات الرجل في الوسط اليوم

نعيش في عصر رقمي حيث تحدث معظم اتصالاتنا ومعاملاتنا وحتى تفاعلاتنا الاجتماعية عبر الإنترنت. ومع ذلك، توجد تهديدات متقدمة في الخلفية، وتتصدر هجمات الرجل في الوسط (MitM) بين الأكثر خبثاً. القراصنة الحديثون قد صقلوا أساليبهم، مستغلين كل من الممارسات القديمة والتطورات التكنولوجية. فهم كيفية عمل هجمات MitM اليوم أمر حاسم للأعمال والأفراد المعنيين بأمن البيانات.

تشريح هجوم الرجل في الوسط

هجوم الرجل في الوسط بسيط المفهوم بشكل مخادع: يلتقط المهاجم سراً التواصل بين طرفين يعتقدان أنهما يتواصلان مباشرة مع بعضهما البعض، وربما يعدّلانها أيضاً. هناك عدة طرق رئيسية يستخدمها مجرمو الإنترنت لتدشين هجمات MitM:

• التنصت على الحزم: مراقبة شبكات الواي فاي غير الآمنة لالتقاط البيانات غير المشفّرة.
• سرقة الجلسة: السيطرة على جلسة بين مستخدم وخدمة ويب.
• تزوير DNS: تحويل حركة مرور موقع ويب إلى موقع ضار عن طريق تشويش ذاكرة DNS.
• إسقاط SSL: تخفيض اتصالات HTTPS الآمنة إلى HTTP غير المشفّر.

على سبيل المثال، خلال حادثة بارزة في 2023، أنشأ المهاجمون نقطة وصول مشبوهة بعنوان “Free_Airport_WiFi”. اتصل المسافرون غير المستوعبين، وجرى سحب بياناتهم — بما في ذلك بيانات الاعتماد والمعلومات المالية — بهدوء في الوقت الحقيقي، بفضل التنصت على الحزم.

تطور الأساليب: تقنيات MITM الحديثة

أظهرت أبحاث الأمن عبر الإنترنت في 2024 أن هجمات MitM ليست ثابتة — فالأساليب ما زالت تتطور. يعتمد القراصنة اليوم على حزم أدوات متقدمة مثل Bettercap و Evilginx2، مما يجعل روتينات الاعتراض معقدة وتدار آلياً. من بين الابتكارات الرئيسية:

• جمع بيانات الاعتماد آلياً: أدوات الهجوم تحاكي المواقع الشرعية بنشاط وتستخرج بيانات الاعتماد من الجلسات المعترَضة. Evilginx2، على سبيل المثال، شائع لتجاوز المصادقة الثنائية (2FA) من خلال وكيل جلسة المستخدم.
• استغلال أجهزة IoT: غالباً ما تعمل أجهزة إنترنت الأشياء ببرامج ثابتة قديمة وتتواصل عبر بروتوكولات غير آمنة، مما يجعلها أهدافاً سهلة للمهاجمين المختبئين في الشبكات المحلية.
• تطبيقات MiTM للجوال: تطبيقات جوال خبيثة يمكنها بدء اتصالات في الخلفية، مع اعتراض تفاصيل تسجيل الدخول للمستخدم وإرسالها إلى خادم المهاجم.

أظهرت دراسة أجرتها IBM في 2023 أن أكثر من 75% من أجهزة IoT تفتقر إلى تشفير قوي، مما يجعل الأعمال عرضة للاعتراض داخل شبكاتها الداخلية بشكل غير مقصود.

دراسات حالة واقعية: MitM قيد التنفيذ

حوادث ملموسة تؤكد شدة هجمات MitM. في أواخر 2022، أبلغ عدد من عملاء البنوك في أوروبا عن تحويلات بنكية غير مصرح بها. لاحقاً كشف التحقيق عن حملة MitM متطورة:

1. احتيال الرسائل القصيرة (SMS Phishing): تلقى المستخدمون رسالة نصية تدعي أنها من مصرفهم، وتحثهم على تسجيل الدخول إلى بوابة مزيفة.
2. وكالة الجلسة (جلسة الوكيل): بمجرد إدخال بيانات الاعتماد، استخدم المهاجمون Evilginx2 لالتقاط كوكيز الجلسة. بدلاً من مجرد سرقة أسماء المستخدمين وكلمات المرور، استولوا على جلسات كاملة وتجاوزوا حماية 2FA.
3. المعاملات الصامتة: نفّذ المهاجمون تحويلات بنكية بينما كان الضحايا لا يزالون مسجلين الدخول، ولم يلاحظوا شيئاً حتى استُنزِفت حساباتهم.

هذا الشكل الحديث من هجوم MitM خطر بشكل خاص لأنه يتجاوز الاستماع السلبي إلى التلاعب النشط بالحسابات والجلسات.

HTTPS: السيف ذو الحدين

لسنوات، نصح خبراء الأمن باستخدام HTTPS لصد هجمات MitM. ومع ذلك، تكيف المهاجمون — وهي عملية يشار إليها غالباً بـ SSL stripping — إليكم كيف يعمل:

1. الاعتراض وخفض البروتوكول: عندما يحاول المستخدم الاتصال بموقع عبر HTTPS، يعترض هجوم MitM هذا المصافحة الأولية ويخفضها إلى HTTP.
2. تزوير شهادات SSL: أدوات مثل SSLsplit يمكنها تقديم شهادة محلية مزيفة للضحية، مما يفتح الاتصالات للاستماع.
3. حصاد البيانات: مع عدم وجود تحذيرات المتصفح (إذا لم يتم التحقق من الشهادات بشكل صحيح)، تتدفق البيانات الحساسة—مثل بيانات تسجيل الدخول—إلى المهاجم مباشرة.

كما يستخدم المهاجمون سلطات شهادات خبيثة (CAs)، غالباً عن طريق عدوى الأنظمة حتى تثق المتصفحات بالشهادات الضارة. وهذا يمكّنهم من فك تشفير حركة المرور وإعادة تشفيرها بسلاسة، مع البقاء غير مرئيين للضحايا. ذكرت Google في 2023 أن نحو 5% من حركة الويب الإجمالية أظهرت دلائل اعتراض SSL من CAs غير موثوق بها في مناطق تخضع للرقابة أو نشاط عالي للجريمة الإلكترونية.

اختطاف الواي فاي العام: كلاسيكية لا تزال قائمة

على الرغم من أن هجمات MitM أصبحت أكثر تطوراً، فإن مخاطر الواي فاي العام لا تزال قائمة. عادةً ما يقوم المهاجمون بإقامة:

• نقاط وصول شريرة مزدوجة (Evil Twin): تقارب الاسم تقريباً اسم الواي فاي العام الحقيقي.
• هجمات بوابة captive portal: عرض شاشة تسجيل دخول واقعية تلتقط بيانات الاعتماد قبل منح الوصول إلى الإنترنت.
• ARPSpoofing (تزوير ARP): في الشبكات التي لا تعزل العملاء، يمكن للمهاجم تسميم جداول ARP بحيث تمر كل حركة المرور عبر جهازه أولاً.

وفقاً لشركة Symantec، شهد عام 2019 قرابة 40% من المستخدمين الأمريكيين يصلون إلى بريدهم الشخصي أو بريد العمل عبر الواي فاي العام. بينما تقوم العديد من المؤسسات بفرض استخدام VPN اليوم، غالباً ما تبقى الممارسات الفردية متأخرة.

تلميح: لا تقم بتسجيل الدخول إلى حسابات حساسة (مالية، متعلقة بالعمل) عبر الواي فاي العام، ما لم تستخدم VPN مضبوطاً بشكل جيد مع بروتوكولات تشفير قوية.

التجسس المؤسسي: MitM في عالم الأعمال

بالنسبة للمجرمين السيبرانيين والمجموعات المدعومة من الدول، تعتبر الشركات أهدافاً مربحة. يمكن استخدام هجمات MitM ل:

• اعتراض الملكية الفكرية: سرقة تصميمات المنتجات وخطط الأعمال أو البيانات المالية وهي في أثناء النقل.
• تقويض الرسائل المشفرة: حتى خدمات الرسائل الآمنة من طرف إلى طرف قد تكون عرضة إذا تمت معالجة مفاتيح الجلسة أو النقاط النهائية عند التبادل.

مثال: في 2022، تم اختراق شركة اتصالات آسيوية بعد أن استغل المهاجمون محولات داخلية ضعيفة. سمحت حركة الإدارة غير المشفرة لهم بإعادة توجيه البيانات واعتراضها، مما أدى إلى خسائر بملايين الدولارات.

نصيحة تجارية: استخدم تقسيم الشبكة، والمصادقة TLS المتبادلة، وتأكد من أن جميع واجهات إدارة الشبكة معزولة ومشفّرة بشكل صارم (مثلاً باستخدام SSH أو VPN مقيدة بعناوين IP البيضاء).

البريد الإلكتروني في الوسط: احتيال تحويلات مالية واصطياد البريد

تعتبر رسائل البريد الإلكتروني ناقلاً رئيسياً—خصوصاً في بيئات الأعمال ذات الطلبات العالية على تحويلات مالية. قام المجرمون العصابيون بتطوير هجوم متعدد المراحل:

1. تعرض البريد الإلكتروني للأعمال (BEC): يحصل المهاجم على وصول إلى بريد المؤسسة عبر التصيد أو عبر تعرّض MitM سابق.
2. اختطاف المحادثة: بمجرد الدخول، يلاحظون حركة الفواتير السابقة، ويقلدون الأسلوب والتفاصيل المالية المتكررة.
3. إعادة توجيه الدفع: رسائل بريد مزيفة تطلب تعليمات دفع محدثة أو تحويلات عاجلة تُرسل بينما لا يدرك الأطراف الشرعية أن مراسلاتهم تُقرَأ أو تتأخر.

تضع تقارير مكتب التحقيقات الفيدرالي لعام 2023 عن الجرائم عبر الإنترنت الخسائر العالمية المرتبطة بـ BEC عند أكثر من 2.7 مليار دولار، مع العديد من الحالات التي تتضمن بعض عناصر الاعتراض على الاتصالات أو اختطاف الجلسات—not فقط التصيد المستهدف.

دور الهندسة الاجتماعية

القدرات التقنية وحدها نادراً ما تضمن نجاح MitM. تظل الهندسة الاجتماعية—التلاعب بالناس لكسب الوصول أو صرف الشك—عنصرًا مركزيًا:

• Pretexting (الإفتراض المسبق/المبرر): التظاهر بأنك مسؤول تكنولوجيا المعلومات وطلب من الهدف تسجيل الدخول إلى بوابة الشركة الزائفة عبر رابط مُجهّز بعناية.
• انتحال دعم الواي فاي: المهاجمون القريبون من الموقع يعرضون "المساعدة" للمستخدمين للاتصال ليتم توجيههم إلى نقاط وصول مخادعة.
• تحديثات تطبيقات مزيفة: خداع المستخدمين لتثبيت سلطات شهادات ضارة تسمح للمهاجم فك تشفير وحماية كل حركة مرورهم.

تكشف هذه الأساليب عن نقاط الدخول غير التقنية التي، عند دمجها مع هجمات على مستوى الشبكة، تخلق نتائج مدمرة.

إجراءات مواجهة: البقاء محميين في 2024

بينما يظل مشهد التهديد يتغير، هناك عدة خطوات قابلة للتنفيذ توفر دفاعاً قوياً:

• استخدم HTTPS دائماً: افحص بعناية وجود HTTPS وشهادات صالحة عند الاتصال بمواقع. تقدم المتصفحات الحديثة إشارات بصرية وتحذيرات للشهادات المشبوهة—التزم بها بلا استثناء.
• استفد من VPN بشكل استراتيجي: الشبكة الافتراضية الخاصة تشفر بياناتك من جهازك إلى نقطة نهاية بعيدة، مما يجعل الاعتراض أصعب، خاصة على الواي فاي العام.
• فرض المصادقة متعددة العوامل (MFA): أدوات MitM المتقدمة تجمع كوكيز الجلسة، لذا الاعتماد فقط على رسائل SMS أو رموز التطبيقات لم يعد كافياً. حيثما أمكن، استخدم مفاتيح مادية (FIDO2، Yubikey)، وهي أكثر مقاومة لاعتراض MitM.
• تقسيم الشبكة والمراقبة: يجب على قسم تكنولوجيا المعلومات في الشركات الاعتماد على أدوات مراقبة الشبكة (IDS/IPS) المصممة لمكافحة تسميم ARP، وقضايا الشهادات المشبوهة، ونقاط الوصول الخبيثة.
• التعليم والسياسات: تدريب دوري لكافة العاملين—الفنيين وغير الفنيين—على التعرف على الهندسة الاجتماعية والتحقق من علامات أمان المواقع.

مثال بارز في الدفاع الاستباقي يأتي من سلسلة مستشفيات أمريكية كبرى. بعد حادثة MitM في 2021 التي كُشفت فيها معلومات فواتير مرضى حساسة، اعتمد قسم تكنولوجيا المعلومات وكلاء أمان الأجهزة كإجراء إلزامي، وأُجبر استخدام VPN لجميع الاتصالات الخارجية، وتطبيق سياسات تشديد تثبيت على تطبيقات الويب الحيوية. النتيجة؟ صفر اختراق MitM ناجحة في العام التالي.

التهديد الناشئ من الحوسبة الكوانتية

نظرة إلى المستقبل، من المتوقع أن يتزايد الخطر الذي تمثله هجمات MitM مع ظهور الحوسبة الكوانتية. المعايير التشفيرية اليوم—خصوصاً تلك التي تدعم HTTPS وبروتوكولات VPN—قد تكون عرضة لهجمات كوانتم مستقبلية قد تفك تشفير البيانات المعترضَة نظرياً.

يتوقع باحثو الأمن أنه حتى الآن قد تجمع الجهات المدعومة من الدول كميات هائلة من حركة المرور المشفرة، وتخزينها لفك تشفيرها عند نضوج الحواسيب الكوانتية. وتُسمّى هذه الفكرة بـ "سرقة الآن، فك التشفير لاحقاً"، مما يجعل هجمات MitM ليست مجرد ناقل في الزمن الحقيقي بل تهديداً مستمراً على المدى الطويل.

نصيحة لجاهزية مستقبلية: يجب على المؤسسات البدء في بحث ونشر معايير تشفير ما بعد الكوانتم، والعمل مع البائعين الذين يتبنون خوارزميات NIST المختارة حالما تصبح متاحة على نطاق واسع.

البقاء في مقدمة القراصنة الذين يستخدمون أساليب MitM يتطلب اليقظة والتعليم والدفاعات التكنولوجية الطبقية. مع ابتكار المجرمين السيبرانيين، يجب على المؤسسات والأفراد أن يحسنوا استراتيجياتهم، معاملة كل تفاعل شبكي—مهما كان روتينياً—بعين حذرة ومراجعة. المجتمع، والأعمال، ومزودو التكنولوجيا جميعهم يحملون قطعاً من لغز الأمان المستمر، وأولئك الذين يتكيفون أسرع سيكونون هم من يبقون آمنين في المشهد السيبراني المتطور.