ما هو انتحال البريد الإلكتروني وكيف تكتشفه؟ Email Spoofing

انتحال الهوية البريدية: عندما يرسل لك محتال رسالة من بريدك الشخصي!
قد تتفاجأ برسالة تبدو وكأنها صادرة من مديرك المباشر، أو من زميل تثق به، أو حتى من عنوان بريدك الإلكتروني الشخصي! هذه الظاهرة ليست خطأ تقنياً، بل هي هجوم مُحكم يُعرف بـ “انتحال البريد الإلكتروني” (Email Spoofing)، يهدف إلى استغلال ثقتك وسرقة بياناتك أو أموالك. فكيف نتعرف على هذه الهجمات ونتصدى لها؟

ما هو انتحال البريد الإلكتروني (Email Spoofing) وكيف يحدث؟

انتحال البريد الإلكتروني هو تزييف رأس الرسالة (Header) لجعلها تبدو وكأنها قادمة من مصدر موثوق، بينما مصدرها الحقيقي هو جهة خبيثة. تشبيهًا، الأمر يشبه إرسال خطاب بواسطة البريد العادي مع كتابة عنوان مرسل مختلف تماماً على المغلف. تقنياً، يعتمد هذا على ثغرة في بروتوكول إرسال البريد (SMTP)، الذي لا يتحقق تلقائياً من صحة هوية المرسل. يستغل المهاجمون هذه السذاجة الأصلية في النظام لانتحال هويات شخصيات مهمة داخل المؤسسة، مثل المديرين أو قسم تكنولوجيا المعلومات، لخداع الضحية وتنفيذ أجندتهم الخبيثة.

هل يمكن انتحال عنوان البريد الإلكتروني؟

نعم، يمكن انتحال أي عنوان بريد إلكتروني تقريبًا من الناحية التقنية. لا تتطلب هذه العملية اختراق حساب المرسل الأصلي، بل هي تشبه تزوير عنوان على مغلف رسالة. يقوم المهاجم بتعديل الحقول الأساسية في رأس البريد الإلكتروني (مثل From: و Reply-To:) ليطابق العنوان الذي يريد انتحاله وتقمص شخصيته. هذا هو السبب الجذري الذي يجعل هذه الهجمات شائعة وخطيرة للغاية، حيث يمكن لأي شخص لديه أدوات بسيطة محاولة انتحال هوية أي شخص أو مؤسسة، ومن يقعون في المعتاد في هذه المصيدة، هم الموظفون قليلوا الخبرة في الامن السيبراني، والمدراء ايضا واصحاب الاعمال للأسف. اقرأ مقالاً مفصلاً لتعرف كيف يمكنك تحليل وتدقيق رأس الرسالة

ما هو احتيال البريد الإلكتروني التجاري (BEC)؟

من أبرز الهجمات التي تستخدم تقنية الانتحال هو ما يُعرف بـ “احتيال البريد الإلكتروني التجاري” (Business Email Compromise – BEC) أو “احتيال الرؤساء التنفيذيين”. هنا، لا يكتفي المهاجم بانتحال عنوان عشوائي، بل يستهدف بشكل محدد انتحال شخصية شخص ذي سلطة داخل الشركة، مثل المدير التنفيذي أو المالك. يتم توجيه هذا الهجوم بدقة نحو الموظفين في الأقسام الحساسة مثل المالية والمحاسبة والحسابات الدائنة، ممن لديهم صلاحية تنفيذ تحويلات مالية أو دفع فواتير.

ما الفرق بين انتحال البريد الإلكتروني (Spoofing) واحتيال BEC؟

من المهم فهم العلاقة بين المفهومين، فهما ليسا مترادفين بل مرتبطان بشكل وثيق:

انتحال البريد الإلكتروني (Email Spoofing) هو تقنية أو أسلوب تقني يستخدم لتزوير عنوان المرسل في رسالة البريد الإلكتروني. إنها الأداة التي يستخدمها المحتال.

بينما

احتيال البريد الإلكتروني التجاري (BEC) هو نوع من الهجمات أو الجريمة واسعة النطاق التي تعتمد بشكل أساسي على تقنية الانتحال كوسيلة لتنفيذها.

بمعنى آخر، الانتحال هو “الكيفية” أو أحد الكيفيات بينما BEC هو النتيجة. لا تُستخدم تقنية الانتحال فقط في هجمات BEC، بل يمكن استخدامها في حملات التصيد العشوائي أيضًا. ومع ذلك، فإن جميع هجمات BEC تقريبًا تعتمد على انتحال البريد الإلكتروني لخداع الضحايا وجعل الرسالة تبدو وكأنها صادرة من مصدر شرعي داخل المؤسسة.

لماذا يصعب اكتشاف هجمات BEC؟

ما يجعل هجمات BEC خبيثة ومكلفة هو درجة تخصيصها ودقتها. يعتمد المحتالون على حقيقة أن البشر يميلون بطبيعتهم إلى الثقة، وأن العديد من العمليات التجارية روتينية ومتوقعة. يستغلون هذه النقاط ببراعة من خلال محاكاة طلبات يومية تبدو منطقية، مثل طلبات الموافقة على دفعة عاجلة أو تحديثات معلومات الدفع. يتم صياغة هذه الرسائل بعناية فائقة لدرجة أنها قد تخدع حتى الموظفين ذوي الخبرة، حيث تخلو غالبًا من الروابط أو المرفقات الواضحة الضارة، مما يجعل الفلاتر الأمنية التقليدية أقل فعالية في اكتشافها.

ما هي علامات التحذير في رسائل BEC؟

غالبًا ما تحمل رسائل البريد الإلكتروني الخاصة باحتيال BEC علامات مميزة إذا كنت تعرف ما تبحث عنه. تتضمن العناصر الشائعة ما يلي:

الاستعجال والسرية: طلبات التحويلات البنكية العاجلة أو شراء بطاقات الهدايا مصحوبة بعبارات مثل “هذا الأمر سري” أو “لا تخبر أحدًا بهذا الطلب” لمنع الضحية من التحقق منه.

التلاعب النفسي: استخدام عبارات مثل “هل يمكنك معالجة هذا بشكل خاص؟ أنا في اجتماع” لاستغلال ولاء الموظف ورغبته في إرضاء رئيسه.

أخطاء دقيقة: قد يكون عنوان البريد الإلكتروني المستخدم قريبًا جدًا من العنوان الحقيقي (بفارق حرف واحد) أو يحتوي على أخطاء نحوية طفيفة. تم تصميم هذه الرسائل لدفعك إلى اتخاذ إجراء قبل أن تتوقف لتتساءل عن مصداقيتها.

ما هي أمثلة على هجمات BEC الواقعية؟

يحدث احتيال BEC للشركات كل يوم. إليك بعض السيناريوهات الشائعة:

المثال 1: فاتورة عاجلة: يتلقى موظف في القسم المالي بريدًا إلكترونيًا من “المدير المالي” يطلب دفع فاتورة عاجلة لمورد ما، مع توجيهات لإرسال الأموال إلى حساب بنكي جديد (التابع للمحتالين).

المثال 2: صفقة سرية: بريد إلكتروني من “الرئيس التنفيذي” حول عملية استحواذ سرية للغاية ويطلب تحويل دفعة مالية كبيرة كعربون، مع التأكيد على السرية التامة لمنع الضحية من التواصل مع الآخرين للتحقق.

المثال 3: التصيد عبر الرسائل النصية (Smishing): بريد إلكتروني من “مسؤول” يطلب رقم هاتفك بحجة “إرسال مهمة سريعة عبر الرسائل النصية”. الهدف هو نقل المحادثة إلى قناة أقل رسمية وأكثر ثقة لسرقة المعلومات.

مثال 4: مثال على هجوم Smishing: رسالة تسليم طرد مزيفة
السيناريو: يتلقى أحمد رسالة نصية على هاتفه الشخصي.

نص رسالة التصيد:

شركة الاتصالات السعودية: لم يتمكن مندوبنا من تسليم طردك في 2025-05-15. يرجى تأكيـــد الدفـــع التســليم وتحديث العنوان هنا: https://spl-sa.com/tracking/789456

كيف يعمل الهجوم خطوة بخطوة:

الطُعم (The Bait): الرسالة تبدو وكأنها من شركة اتصالات معروفة (شركة الاتصالات السعودية). ذكر تاريخ حديث ورقم تتبع (789456) يضفي مصداقية.

الاستعجال (The Urgency): كلمة “لم يتمكن” تخلق شعوراً بالإحباط أو القلق لدى الضحية، مما يدفعها لتصحيح الموقف بسرعة.

الرابط الضار (The Hook): الرابط https : // spl – sa . com / tracking / 789456 يبدو للوهلة الأولى معقولاً، لكنه في الحقيقة:

النطاق spl-sa . com ليس النطاق الرسمي لشركة الاتصالات (مثل stc . com . sa). المحتالون يشترون نطاقات تبدو مشابهة.

لاحظ أن كلمات ( تأكيـــد | الدفـــع | التســليم ) تم كتابتها بمد بعض الحروف لتمرير الفلاتر الأمنية التي تبحث عن الكلمات الشائعة في رسائل التصيد.

ما يحدث بعد النقر على الرابط الضار؟

يتم توجيه الضحية إلى موقع ويب مزيف مصمم بدقة ليشبه تماماً موقع شركة الاتصالات الحقيقي، بما في ذلك الشعارات والألوان.

يطلب الموقع من الضحية “تأكيد عنوانه” أو “دفع رسوم إعادة شحن” طفيفة (مثل 5 ريال).

يُطلب من الضحية إدخال معلومات شخصية ومالية خطيرة، مثل:

• رقم الهوية.
• رقم البطاقة الائتمانية وتاريخ انتهائها ورمز CVV.
• الاسم الكامل وتاريخ الميلاد.

النتيجة: يقوم المحتالون بسرقة هذه المعلومات فوراً واستخدامها للاحتيال المالي أو انتحال الهوية.

ما الفرق بين BEC والتصيد العادي؟

على الرغم من أن كلاهما يعتمدان على البريد الإلكتروني، إلا أن أسلوبيهما وتأثيرهما مختلفان تمامًا:

BEC: هجوم موجه ومُخصص. يقوم المحتالون بواجبهم البحثي العميق، ويبحثون عن ضحاياهم وعملياتهم المحددة لكسب الثقة. تركز هذه الهجمات على الأصول عالية القيمة (مثل التحويلات البنكية الكبيرة) وتكون أقل تقنية وأكثر نفسية.

بينما

التصيد التقليدي: هجوم واسع النطاق مثل رصاصة البندقية. يتم إرسال آلاف الرسائل العشوائية التي تحتوي على روابط أو مرفقات ضارة، بهدف سرقة كلمات المرور أو البيانات الشخصية بكميات صغيرة. أسهل في الكشف بواسطة الفلاتر.

كيف يمكن للمؤسسات حماية نفسها من هذه الهجمات؟

الحماية تتطلب نهجًا متعدد الطبقات:
1- التوعية المستمرة: تدريب الموظفين على التعرف على علامات BEC والانتحال هو خط الدفاع الأول.
2- بروتوكولات المصادقة: تطبيق سياسات SPF، DKIM، و DMARC على نطاق البريد الإلكتروني للشركة لجعل الانتحال أكثر صعوبة تقنيًا.
3- إجراءات التحقق المزدوج: فرض سياسة تحقق إلزامية (مثل الاتصال هاتفيًا) لأي طلب تحويل مالي أو تغيير في معلومات الدفع.

اختيار استضافة آمنة: الاعتماد على أفضل مزودي خدمات البريد الإلكتروني الموثوقين مثل ويب ماستر، الذين يقدمون دعمًا مدمجًا وسهلًا لبروتوكولات الحماية (DMARC)، وأنظمة فلترة ذكية تعتمد على الذكاء الاصطناعي للكشف عن أنماط الهجمات المتطورة مثل BEC قبل وصولها إلى صندوق الوارد، بالإضافة إلى تشفير قوي للمرسلات وفرض المصادقة متعددة العوامل (MFA).

الخلاصة هي أن مكافحة انتحال البريد الإلكتروني مسؤولية مشتركة بين تقنية قوية من قبل المزودين، وسياسات أمنية صارمة من قبل المؤسسة، ويقظة مستمرة من قبل كل فرد. البقاء متشككاً ومدركاً هو أفضل دفاع لديك.