Gatekeeper
العودة إلى الرؤى
أمن البريد الإلكتروني ومكافحة التصيد الاحتيالي: حماية الشركات السعودية من هجمات BEC

أمن البريد الإلكتروني ومكافحة التصيد الاحتيالي: حماية الشركات السعودية من هجمات BEC

استخبارات التهديداتبواسطة Gatekeeper

البريد الإلكتروني: الباب الأوسع للهجمات السيبرانية

يظل البريد الإلكتروني الوسيلة الأكثر استخداماً في الهجمات السيبرانية على مستوى العالم، حيث تبدأ أكثر من 90% من الهجمات الناجحة برسالة بريد إلكتروني خبيثة. وفي المملكة العربية السعودية، تتزايد هجمات التصيد الاحتيالي بشكل ملحوظ مع توسع الأعمال الرقمية وزيادة الاعتماد على المراسلات الإلكترونية في المعاملات التجارية والحكومية.

تُشكّل هجمات احتيال البريد التجاري (Business Email Compromise - BEC) تهديداً خاصاً للشركات السعودية، حيث يستهدف المهاجمون المعاملات المالية الكبيرة والتحويلات البنكية عبر انتحال هوية المديرين التنفيذيين أو الموردين. تُقدّر الخسائر العالمية من هجمات BEC بمليارات الدولارات سنوياً.

أنواع هجمات البريد الإلكتروني

  1. التصيد الاحتيالي العام (Phishing): رسائل بريد جماعية تنتحل هوية جهات موثوقة كالبنوك أو الجهات الحكومية لسرقة بيانات اعتماد المستخدمين. تستخدم غالباً روابط مزيفة تُحاكي مواقع حقيقية.

  2. التصيد الموجّه (Spear Phishing): هجمات مخصصة تستهدف أفراداً أو مجموعات محددة باستخدام معلومات شخصية مُجمعة من مصادر مفتوحة لزيادة مصداقية الرسالة.

  3. صيد الحيتان (Whaling): تصيد موجّه يستهدف المديرين التنفيذيين وأعضاء مجالس الإدارة تحديداً، ويتميز بمستوى عالٍ من التطور والتخصيص.

  4. احتيال البريد التجاري (BEC): انتحال هوية مسؤول تنفيذي أو مورد لتوجيه تحويلات مالية إلى حسابات يسيطر عليها المهاجم. لا يتضمن عادةً برمجيات خبيثة بل يعتمد على الهندسة الاجتماعية.

  5. البريد المُحمَّل بالبرمجيات الخبيثة (Malware-laden Email): رسائل تحتوي على مرفقات خبيثة مثل ملفات Office المُدمجة بماكرو أو ملفات PDF مُستغلة لتثبيت برمجيات فدية أو أحصنة طروادة.

هجمات BEC في السياق السعودي

تستهدف هجمات احتيال البريد التجاري الشركات السعودية بشكل متزايد لعدة أسباب:

  • حجم المعاملات المالية: تتعامل الشركات السعودية مع تحويلات مالية كبيرة القيمة، خاصة في قطاعات النفط والغاز والمقاولات والتجارة الدولية، مما يجعلها أهدافاً مُربحة.

  • التعامل مع موردين دوليين: كثرة التعاملات مع موردين من مختلف الدول تُسهّل على المهاجمين انتحال هوية مورد أجنبي وتغيير تفاصيل الحسابات البنكية.

  • الثقة في التسلسل الهرمي: الثقافة التنظيمية التي تُعطي أهمية كبيرة لتوجيهات الإدارة العليا قد تجعل الموظفين أقل ميلاً للتشكيك في طلبات تبدو صادرة من المدير التنفيذي.

  • ضعف التحقق الثنائي: عدم وجود إجراءات تحقق ثنائية للمعاملات المالية الكبيرة في بعض الشركات، مما يسمح بتنفيذ تحويلات بناءً على رسالة بريد إلكتروني واحدة.

بروتوكولات مصادقة البريد الإلكتروني: SPF وDKIM وDMARC

تُشكّل بروتوكولات مصادقة البريد الإلكتروني الخط الدفاعي الأول ضد انتحال هوية نطاق المنظمة. يعمل هذا الثلاثي بشكل تكاملي:

إطار سياسة المرسل (SPF)

يُحدد SPF (Sender Policy Framework) الخوادم المُصرّح لها بإرسال بريد إلكتروني نيابة عن نطاق المنظمة. يُنشر كسجل DNS من نوع TXT يحتوي على قائمة بعناوين IP المُصرّح لها. عند استلام خادم بريد لرسالة، يتحقق من أن عنوان IP المرسل مُدرج في سجل SPF الخاص بالنطاق.

البريد المُعرَّف بمفاتيح النطاق (DKIM)

يُضيف DKIM (DomainKeys Identified Mail) توقيعاً رقمياً مُشفراً لكل رسالة صادرة باستخدام مفتاح خاص. يمكن للخادم المستقبِل التحقق من صحة التوقيع باستخدام المفتاح العام المنشور في سجلات DNS. يضمن DKIM عدم تعديل محتوى الرسالة أثناء النقل ويُثبت أنها صادرة فعلاً من النطاق المُدّعى.

مصادقة الرسائل والتقارير والتوافق (DMARC)

يُوحّد DMARC (Domain-based Message Authentication, Reporting & Conformance) بين SPF وDKIM ويُحدد السياسة التي يجب اتباعها عند فشل المصادقة. تتدرج السياسات من المراقبة فقط (p=none) إلى العزل (p=quarantine) إلى الرفض التام (p=reject). يوفر DMARC أيضاً تقارير مفصلة عن محاولات انتحال النطاق.

الإعداد الأمثل يبدأ بسياسة DMARC في وضع المراقبة (p=none) لجمع البيانات وتحديد مصادر البريد المشروعة، ثم التدرج نحو سياسة الرفض (p=reject) بعد التأكد من تكوين SPF وDKIM بشكل صحيح لجميع مصادر البريد المشروعة.

استراتيجية الدفاع متعدد الطبقات

لا تكفي بروتوكولات المصادقة وحدها لحماية البريد الإلكتروني. يتطلب الأمر نهجاً شاملاً يجمع بين عدة طبقات دفاعية:

  • بوابة أمن البريد الإلكتروني (Secure Email Gateway): فلترة متقدمة للرسائل الواردة والصادرة تتضمن فحص المرفقات في بيئات معزولة (Sandboxing) وتحليل الروابط في الوقت الفعلي.

  • الحماية المتقدمة من التهديدات (ATP): أنظمة تستخدم الذكاء الاصطناعي والتعلم الآلي لكشف رسائل التصيد المتطورة التي تتجاوز الفلاتر التقليدية.

  • المصادقة متعددة العوامل (MFA): تطبيق MFA على جميع حسابات البريد الإلكتروني لمنع الوصول غير المصرّح حتى في حال سرقة كلمة المرور.

  • التوعية والتدريب المستمر: تنفيذ حملات تصيد تجريبية دورية لقياس مستوى وعي الموظفين وتحديد الأفراد الذين يحتاجون إلى تدريب إضافي.

  • إجراءات التحقق المالي: فرض التحقق الثنائي عبر قناة اتصال مختلفة (مثل مكالمة هاتفية) لأي تغيير في بيانات الحسابات البنكية أو طلبات تحويل تتجاوز حداً مالياً معيناً.

خارطة طريق التطبيق

  1. التقييم الأولي: مراجعة إعدادات البريد الإلكتروني الحالية وتحديد الثغرات في المصادقة والحماية. فحص سجلات DNS للتأكد من وجود SPF وDKIM وDMARC.

  2. تكوين البروتوكولات: إعداد SPF وDKIM لجميع مصادر البريد المشروعة، ثم نشر DMARC بسياسة p=none للمراقبة.

  3. التدرج في التشديد: بعد فترة مراقبة كافية وتحليل التقارير، الانتقال تدريجياً إلى p=quarantine ثم p=reject.

  4. نشر الحلول المتقدمة: تطبيق بوابة أمن البريد وأنظمة ATP وتكاملها مع منظومة SIEM القائمة.

  5. المراقبة المستمرة: مراجعة تقارير DMARC بانتظام ومتابعة مؤشرات التصيد وتحديث السياسات بناءً على التهديدات المستجدة.

الخلاصة: حماية البريد مسؤولية مشتركة

يبقى البريد الإلكتروني الناقل الأول للهجمات السيبرانية، وحمايته تتطلب نهجاً يجمع بين التقنية والعمليات والوعي البشري. بروتوكولات SPF وDKIM وDMARC ليست اختيارية بل ضرورة أساسية يجب على كل منظمة سعودية تطبيقها.

مع تزايد استهداف الشركات السعودية بهجمات BEC المتطورة، يجب أن تكون حماية البريد الإلكتروني أولوية قصوى في استراتيجية الأمن السيبراني. والمنظمات التي تبني دفاعات متعددة الطبقات وتستثمر في توعية موظفيها ستكون الأقدر على صدّ هذه التهديدات وحماية أصولها المالية وسمعتها.

شارك هذا المقال