Phishing Email Analysis

نتطرق بالبداية لمفهوم الـ Phishing Attack وهو نوع من الهجمات يهدف إلى سرقة البيانات الشخصية للمستخدم بشكل عام من خلال النقر على الروابط الضارة للمستخدمين التي تصل عبر الإيميل أو تشغيل ملفات ضارة على أجهزة الكمبيوتر الخاصة بهم.

كيف تتم عملية الـ Phishing Attack؟

الـ Attackers في عملية الـ Phishing Attack يستغلون بها الأحداث الموسمية أو السنوية عبر إرسال رابط ملغم عن طريق الإيميل للضحية مثل أن يظللوا الضحية بأن "لديك هدية بمناسبة يوم ميلادك" أو "لديك باقة ورد في يوم الحب" ، فالغرض منها ليس فقط سرقة معلومات الضحية مثل ( إسم المستخدم ،كلمة المرور ) الهدف من هذا كله إستغلال المستخدم الغير واعي بأساسيات الحماية ، فمثلاً الـ Attackers يستخدمون هذه الهجمات كخطوة أولى لإختراق الأنظمة.

كيف تتم عملية الإنتحال أو الـ Spoofing ؟

هنا قد يستغل الـ Attackers بأن يتم إرسال إيميل نيابةً عن شخص آخر بإستخدام تقنية تسمى بالـ Spoofing بحيث يعتقد المستخدم بأن البريد الذي وصله موثوق به ، هناك تقنيات تمنع الـ Email Spoofing مثل إن يتم إستخدام برتوكولات معينة مثل :

  1. Sender Policy Framework (SPF)

    هذا البروتوكول مصمم لتقييد من يمكنه استخدام الـ Domain الخاص بالشركة كمصدر لرسالة إيميل بمعنى يتمثل كأسلوب مصادقة بحيث يكون فيه حد مسموح بإرسال إيميل في حد نطاق الـ Domain الخاص بالشركة.

  2. DomainKeys Identified Mail (DKIM)

هذا البرتوكول يتمثل بأن يكون فيه توقيع أو Signature من المالك الـ Domain نفسه كنوع من المصادقة حتى يتم إرسالها وترخيصها.


حالياً أغلب تطبيقات الخاصة بالـ Emails توفر هذه الخدمة تلقائياً بحيث تنقل الـ Emails العشوائية في خانة البريد الغير هام.


كيف يتم التحقق من أن هناك عملية إنتحال/ Spoofing؟

لمعرفة ما إذا كان الرسالة التي وصلتنا حقيقية أو عبارة عن عملية إنتحال/ Spoofing لجهة ما ، بالبداية لابد من معرفة الـ SMTP Address أو الـ (Simple Mail Transfer Protocol) للبريد أولاً. هذا البرتوكول الـ SMTP هو المستخدم في الخوادم الخاصة بالـ Emails عبر الإنترنت بالإضافة لمعرفة سجلات أو الـ Records الخاصة بالـ SPF, DKIM, DMARC, MX

  1. SPF Record

    يحدد سجلّ نظام التعرّف على هوية المرسل خوادم البريد والـ Domain المسموح لها بإرسال الرسائل نيابةً عن الـ Domain الخاص بك ، بمعنى يكون فيه plain text تحتوي على قائمة أو List مكونة من tags و values تُسمى بالـ mechanisms. الـ valuesتحتوي عادةً على الـ IP addresses والـ domain names.

    حتى يتم إعتماد قائمة المُرسلين المعتمدين لإرسال بريد إلكتروني من الـ Domain الخاص بك.

  2. MX Record

    يُسمى بالـ mail exchange record وهو عبارة عن DNS record يوجه رسائل الإيميل إلى خوادم أو Servers محددة. الـ MX Record تشير بشكل أساسي إلى الـ IP addresses الخاصة بالـ mail server's domain بمعنى إنه يتم تحديد المسار الذي يجب على رسالة الـبريد أن تسلكه للوصول إلى وجهتها المحددة

  3. DMARC Record

    هو عبارة عن TXT record ( هو نوع من السجلات الـDomain Name System (DNS) بتنسيق نصي أو "text format" والذي يحتوي على المعلومات الـdomain الخاص بك للعالم الخارجي. الـ DMARC Record يحتوي على تعليمات حول كيفية تعامل الـ email server مع بريد إلكتروني فشل في المصادقة ، بإستخدام DMARC Record ، يمكنك التحكم في ما إذا كان يجب على مستلمي البريد الإلكتروني رفض بريد إلكتروني مشبوه أو عزله.

  4. DKIM Record

    يعتبر برتوكول يسمح للشركة بتحمل المسؤولية عن إرسال رسالة عن طريق توقيعها أو الـ Signing الخاص بهم.


من الممكن أن نستخدم آداءة مثل الـ Mxtoolbox من خلال مقارنة المعلومات هنا ، يمكن معرفة ما إذا كان البريد منتحل أم لا.



E-mail Traffic Analysis

كنقطة بداية لتحليل الـ Phishing Attack يمكننا معرفة حجم الهجوم وأي أشخاص مستهدفين من خلال نتائج البحث للمعايير التالية :

  1. عنوان المُرسل أو الـ Sender Address مثل : info@example.com

  2. عنوان الـ SMTP IP مثل : 127.0.0.1

  3. الـ Domain الأساسي مثل : example.com

  4. العنوان أو الـ Subject

الـ Attackers من الممكن أن يستخدمون آداءة الـ Harvester للبحث على عناوين البريد الآلكتروني.


E-mail Header Analysis

في هذا القسم بالـ Email يحتوي على معلومات مثل :

  1. المرسل أو الـ "Sender"

  2. المستلم أو الـ "Recipient"

  3. التاريخ أو الـ "Date"


    بالإضافة إلى بالإضافة إلى ذلك ، يحتوي على حقول مثل :

  4. مسار الإرجاع أو الـ "Return-Path" يحدد هذا العنوان مكان إرسال رسائل البريد الإلكتروني ، الرد على أو الـ "Reply-"To و تم الإستلام أو الـ "Received" هذا عبارة عن نوع من سجل عناوين الـ IP لكل مكان تم استلام الرسالة فيه في طريقها إلى وجهتها النهائية. هذا العنوان مفيد بشكل خاص في حالة وجود أي أخطاء لأنه يمكنك التحقق من النقطة التي تم فيها تغيير بريدك الإلكتروني ومن أين أتى.

  5. نتائج المصادقة أو الـ "Authentication-Results" هذا هو المكان الذي يتم فيه تسجيل نتائج مصادقة الـ SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), DMARC (Domain-based Message Authentication, Reporting & Conformance) إذا كان كل شيء تم التحقق منه ونجح، فسيستلم كل واحد رسالة نتيجة "Pass".

  6. معرف الرسالة أو الـ "Message-ID" عادةً يُشير هذا إلى الـ unique ID الذي تم إنشاؤه عند إنشاء البريد الإلكتروني لأول مرة.

  7. "MIME-Version" الإختصار يرمُز إلى الـ Multipurpose Internet Mail

    Extensions وهو يعتبر معيار إنترنت يوسع تعريف تنسيق رسائل البريد الإلكتروني، المحدد مسبقا بواسطة بروتوكول SMTP، ليتضمن ملفات الميديا المختلفة مثل : الفيدوهات والصور وإلخ..

  8. نوع المحتوى أو الـ "Content-type" هنا يتم تنسيق محتوى البريد الإلكتروني عادةً يكون بالتنسيق التالي إما HTML أو بالـ Plain text .

  9. الأولوية أو الـ "Precedence" يُعتبر optional header كأن يمنع إرسال الرسائل إلى البريد العشوائي أو الـ spam ، ويزيد من فرصة وضع البريد الوارد ويساعد في الحفاظ على إمكانية التسليم عالية.

كيف يكون عرض الـ Email Header في الـ Gmail ؟

Join