روابط آمنة | لماذا يعتبر Microsoft Office 365 Safe Link غير آمن؟

منذ أول هجوم تصيد ناجح، قمنا بتدريب مستخدمي البريد الإلكتروني لدينا على قراءة كل عنوان URL قبل النقر.

تضمنت الحماية المتقدمة من التهديدات (ATP) من Microsoft ميزة تسمى الروابط الآمنة أو Safe links التي عملت ضد هذا. في السابق، حجبت الروابط الآمنة عنوان URL الأصلي برابط مُعاد كتابته، مما أدى إلى إزعاج عقود من جهود تعليم المستخدم من خلال إخفاء القرائن المرئية التي يحتاجها المستخدمون النهائيون لتحديد التصيد الاحتيالي والمآثر الأخرى.

unsafe safelink

قبل عام، قامت Microsoft بتحسين الروابط الآمنة عن طريق إضافة عرض الارتباط الأصلي في تطبيق ويب Office (OWA). الآن، يمكن للمستخدمين قراءة الرابط الأصلي. وهذا يتيح لهم اتخاذ قرار أكثر استنارة للنقر. ولكن، هل تحديث الروابط الآمنة هذا آمن؟


ما هي الروابط الآمنة في Office 365 Advanced Threat Protection؟

عندما ينقر شخص ما على عنوان URL في رسالة بريد إلكتروني، تتحقق الروابط الآمنة على الفور من عنوان URL لمعرفة ما إذا كان ضارًا أم آمنًا قبل عرض صفحة الويب في متصفح المستخدم.

يتحقق Safe Links مما إذا كان المجال الوجهة ليس موجودًا في قائمة الحظر الخاصة بـ Microsoft أو قائمة الحظر المخصصة التي أنشأتها المؤسسة. إذا كان عنوان URL يؤدي إلى مرفق، فسيتم فحص المرفق بواسطة Microsoft بحثًا عن البرامج الضارة.

إذا تم تحديد عنوان URL على أنه غير آمن، فسيتم نقل المستخدم إلى صفحة تعرض رسالة تحذير تسأله عما إذا كان يرغب في المتابعة إلى الوجهة غير الآمنة.


ما الخطأ في الروابط الآمنة؟

في السابق، استبدلت الروابط الآمنة عناوين URL في رسالة بريد إلكتروني واردة بعناوين URL (* .outlook.com) التي تسمح لشركة Microsoft بفحص الارتباط الأصلي بحثًا عن أي شيء مريب وإعادة توجيه المستخدم فقط بعد مسحه.

  • على سبيل المثال، تم استبدال رسالة بريد إلكتروني تحتوي على ارتباط إلى www.avanan.com بـ:
 na01.safelinks.protection.outlook.com/؟url=http٪3a٪2f٪2fwww.avanan.com

مثال على الروابط الآمنة لـ Microsoft ATP

جعلت الروابط الآمنة من المستحيل على المستخدم النهائي معرفة مكان الارتباط. تمت إعادة كتابة الرابط كإعادة توجيه كثيفة للغاية، مما يجعل من الصعب تحليله.

هذا مثال من واقع الحياة - انظر إلى الرابطين أدناه وحاول تمييز الأمر الذي يؤدي إلى موقع UPS الحقيقي والذي يكون ناتجًا عن هجوم تصيد وهمي.

يشير الارتباط الثاني إلى موقع ضار على webtracking.email.


بالإضافة إلى ذلك، كان من المرجح أن يقوم المستخدمون النهائيون بتسجيل الدخول إلى صفحات Office 365 المزيفة إذا كان المجال يقرأ outlook.com. المستخدمون الدؤوبون الذين فحصوا المكان الذي أدى إليه الارتباط سيرون عنوان URL في "* .outlook.com"، اسم مجال مسجل لدى Microsoft. من المرجح أن يقوم المستخدمون النهائيون بإدخال بيانات الاعتماد الخاصة بهم في صفحة يبدو أنها مستضافة على مجال Microsoft معروف.


كيف قام Microsoft بتحديث الروابط الآمنة في Office 365؟

في السابق، كان SafeLinks يشوش ظهور البريد الإلكتروني بعناوين URL المعاد كتابتها والتي كانت غير مقروءة. جادل العملاء أيضًا بأنه من الأسهل التعرف على الارتباط السيئ الأصلي بدلاً من التعامل مع تداعيات SafeLink الفاشلة.

مع هذا التحديث التاريخي، يمكن للمستخدم النهائي الآن رؤية عنوان URL الأصلي في نافذة عندما يحوم فوق الارتباط التشعبي. يظهر عنوان URL المعاد كتابته في الجزء السفلي فقط، مما يؤكد أن Microsoft لا تزال تغلف الرابط في النهاية الخلفية للتحليل.

hover_reveal (1)

يدعم تحسين تجربة SafeLinks باستخدام Native Link Rendering الجهود المبذولة لتثقيف المستخدمين النهائيين وتحسين وضع الأمان العام من خلال منح الأفراد مزيدًا من المعلومات لاتخاذ القرارات.


لماذا لا تزال الروابط الآمنة من Microsoft غير آمنة

على الرغم من أن الروابط الآمنة هي طريقة منطقية على ما يبدو لمكافحة التصيد الاحتيالي، إلا أن لها عيوبًا كبيرة تؤدي في النهاية إلى جعل بريدك الإلكتروني أقل أمانًا من هجمات التصيد الاحتيالي.


1. لا تزال الروابط الآمنة تعيد كتابة عناوين URL في عملاء Outlook

Native Link Rendering غير متوفر في عميل Outlook، المثبت على أجهزة سطح المكتب والأجهزة المحمولة. يعمل هذا التحديث فقط في Outlook على الويب (OWA) بالنسبة لعدد كبير من المؤسسات التي تستخدم كلاً من OWA وعميل Outlook، فقد يتسبب ذلك في حدوث بعض الالتباس بين المستخدمين النهائيين.


2. الروابط الآمنة لا تفحص عناوين URL ديناميكيًا

لا تقدم الروابط الآمنة فحصًا ديناميكيًا لعناوين URL لتقييم الارتباط بحثًا عن التهديدات على أساس كل حالة على حدة. في وقت النقر، تتحقق الروابط الآمنة فقط من وجود عنوان URL في قوائم الحظر المعروفة للمواقع الضارة. هذا يعني أن ATP يكافح لاكتشاف عناوين URL غير المعروفة والمجهولة ليوم الصفر.


3. لا يمكن أن تعمل الروابط الآمنة على عمليات الكشف عبر صناديق البريد

عندما تحدد الروابط الآمنة عنوان URL ضارًا، فإنها لا تنشئ تنبيهًا لإعلام المسؤول بحالات الارتباط نفسه في علب بريد المستخدم الأخرى. لإزالة عناوين URL الضارة من حملة التصيد الاحتيالي التي تؤثر على المؤسسة، يجب على المسؤول تشغيل استعلام وإزالة التهديدات عبر PowerShell.


4. تم تجاوز الروابط الآمنة مع التوجيه الخاطئ لحركة مرور IP

كما ذكرنا أعلاه، تتبع Microsoft الروابط لتحديد مخاطرها قبل السماح للمستخدم بالانتقال إليها.

تتبع Microsoft الارتباطات الآمنة من عناوين IP الخاصة التي يمكن تمييزها بسهولة عن طلبات المستخدم النهائي. أنشأ المتسللون قائمة حظر Microsoft IP الخاصة بهم وشاركوها مع عناوين IP هذه هنا.

لذلك، عندما يأتي الطلب من Microsoft IP، يتم إعادة توجيهه إلى صفحة حميدة ويقوم ATP الخاص بـ Microsoft بمسحها. ولكن بعد ذلك يقوم بإعادة توجيه المستخدم مباشرة إلى عنوان URL الضار.


5. تجاوز الروابط الآمنة باستخدام عناوين URL المبهمة

نقطة ضعف أخرى في فحص الروابط الآمنة هي أنه لا يطبق الروابط الآمنة على المجالات التي أدرجتها Microsoft في القائمة البيضاء. يتم منح المواقع الشهيرة مثل Google.com تصريحًا.

قد يبدو هذا معقولاً، لكنه يفتح الباب لخدعة أخرى شائعة تسمى "Open Redirect". على سبيل المثال، لن يتم تغيير هذا الارتباط بواسطة Office 365 Safe Link نظرًا لأن بحث Google مُدرج في القائمة البيضاء.



لن تتحقق Google أيضًا من هذا الرابط بحثًا عن محتوى ضار - لا تدعي ذلك مطلقًا - وستتم إعادة توجيه المستخدم النهائي إلى الموقع الضار.

إليك هجوم تصيد حديث استخدم هذه الحيلة: SiteCloak: يأخذ المتسللون تشويش Phish إلى المستوى التالي.

وهنا مثال آخر، مع نص TattleToken:


الروابط الآمنة أكثر أمانًا، لكنها ليست مخلصك

عندما تستخدم الروابط الآمنة لإعادة كتابة عناوين URL، فقد خلقت إحساسًا زائفًا بالأمان ضلل المستخدمين وقوض الجهود المبذولة لتشجيع الأشخاص على فحص عناوين URL بحثًا عن الأخطاء الإملائية أو غيرها من المؤشرات المشبوهة. الآن بعد أن استفادت الروابط الآمنة من عرض الرابط الأصلي للحفاظ على عنوان URL الأصلي للمستخدم النهائي، فإن الروابط الآمنة تستحق الاسم. ومع ذلك، لا تزال هناك بعض الحلول الغامضة التي يمكن للقراصنة استخدامها للتدخل في الحماية المتوفرة في Microsoft ATP.