قصف الاشتراكات الرقمي: كيف تتحول الرسائل الترحيبية إلى سلاح ضد هويتك

الضحايا يغرقون. مئات الرسائل الإلكترونية تتكدس في صناديق بريدهم، لكنها ليست مجرد رسائل مزعجة. إنها تكتيك جديد للاستيلاء على الهوية والأموال: هجمات “قصف الاشتراكات”.

هذا الهجوم لا يهدف للاختراق المباشر لحساباتك. بل لإغراق صندوق بريدك بوابل من رسائل الترحيب والتأكيد الوهمية. رسائل حقيقية، لكنها بلا قيمة. غرضها الوحيد: دفن إشعارات الأمان الحقيقية. بين ضجيج “مرحباً بك في خدمتنا” و”تحقق من بريدك”، ينشط المهاجمون. يغيرون كلمات مرور البنوك، يجرون مشتريات، يطلبون بطاقات ائتمان باسم الضحية. الإنذارات الأمنية الحاسمة تختفي تحت الركام. إنها سرقة أموال وانتحال شخصيات صريح. أي نموذج تسجيل على الإنترنت يقبل بريداً إلكترونياً دون تحقق، يصبح أداة لهم.

الشرارة بدأت خفية. منصة تقنية رائدة رصدت نشاطاً غريباً قبل أسابيع. مستخدمون جدد يسجلون، لكنهم لا يتفاعلون مطلقاً. حسابات خامدة. أسمائهم رموز عشوائية: PfVQXvYTXjwSbEeJBjXYy. بالتدقيق، وصلت رسائل الترحيب لأصحاب تلك الحسابات. عناوين بريد إلكتروني حقيقية. أسماء مشوهة. شيء ما كان خطأ. في البداية، اعتقد الفريق أن الأمر اختبار اختراق روتيني. لكن بعد أيام، تصاعدت الأعداد. ستة تسجيلات مطابقة للنمط. بالتزامن، لوحظ ارتفاع غير طبيعي في زيارات صفحة “نسيت كلمة المرور”. تلك الإشارات المتجمعة دقت ناقوس الخطر.

النمط كان واضحاً. روبوت يسجل ببريد إلكتروني حقيقي لضحية واسم عشوائي. في غضون دقيقة، يتجه لصفحة “نسيت كلمة المرور” ويطلب إعادة تعيين. ثلاث رسائل تصل للضحية خلال دقيقة واحدة: تحقق من بريدك، ترحيب بالخدمة، إعادة تعيين كلمة المرور. رسائل لم يطلبها أحد، من منتج قد لا يكونون قد سمعوا به قط. هذه الخدمة لم تكن سوى واحدة من مئات المواقع التي تضرب في نفس الوقت. الروبوتات كانت تضرب أيضاً صفحة “نسيت كلمة المرور” بعناوين بريد عشوائية، ربما لمحاولة تفعيل رسائل إعادة تعيين لضحايا كانوا مستخدمين بالفعل.

هذا الهجوم مصمم للبقاء خفياً. لا طفرة طلبات هائلة. فقط تسجيل أو اثنان في الساعة. حركة بطيئة ومنتشرة. الطلبات جاءت من أنحاء العالم: الهند، البرازيل، رومانيا، الولايات المتحدة، فيتنام، تركيا. هذا التشتت ليس غريباً بحد ذاته. لكن اللافت كان غياب أي ارتباط بين مصدر الزيارة وتوقيت اليوم. المستخدمون الحقيقيون يتفاعلون عادة ضمن ساعات عمل بلدانهم. حركة الروبوتات تضرب بلا توقيت. تحديد المعدل (Rate limiting) لا يجدي هنا. لا يمكن حظر طلب واحد في الساعة. الهدف هو البقاء تحت عتبة الكشف، وهذا ما يجعله هجوماً مثيراً للقلق. تحليل إحدى الجلسات كشف عن سلوك كتابة غريب: الروبوت يدخل الأحرف ببطء شديد، حرف واحد كل ثانية. الفواصل عشوائية لكنها “عشوائية جداً”. البشر يكتبون بدفعات، يتوقفون قليلاً ثم يواصلون. هذا كان توزيعاً مسطحاً للتأخيرات، محاولة فاشلة لمحاكاة سلوك بشري.

الضرر لا يقع على مشغل الموقع. سمعة مرسل البريد الإلكتروني لم تتأثر بحجم منخفض كهذا. لولا المراقبة الدقيقة لتفعيل المستخدمين، لمر الأمر دون انتباه. الضرر كاملاً يقع على الضحايا. تخيل استيقاظك على مئات الرسائل من خدمات لم تسمع عنها. تحذفها، لكنها تتوالى. وفي تلك الفوضى، يضيع إشعار مهم. تغيير بريدك البنكي، إعادة تعيين كلمة مرور، طلب بطاقة ائتمان جديدة باسمك. السبب الوحيد لنجاح هذا الهجوم: آلاف المواقع (رسائل إخبارية، منتجات برمجية، منتديات، متاجر إلكترونية) تسمح بإدخال أي بريد إلكتروني وتبدأ بإرسال رسائل إليه فوراً. إذا كان نموذج التسجيل يرسل بريداً لعنوان غير متحقق منه، فإن هذا النموذج جزء من المشكلة. الضرر يقع على الضحية، لا على الموقع، ما يدفع البعض لتأجيل الإصلاح، وهو خطأ فادح. هذا يلوث بيانات المستخدمين ويجعل الخدمة شريكة في مضايقة الأفراد.

الخطوة الأولى كانت تشديد قواعد جدار الحماية على مزود الاستضافة. خفضت الحجم إلى النصف تقريباً، لكنها لم توقف الهجوم تماماً. كان التكوين معقداً بسبب حركة المرور المشروعة غير المتصفحة التي تحتاج للعمل. بعد ست ساعات، تسرب تسجيلان آخران. الروبوتات تجاوزت خطوة التحقق. الحل الحاسم جاء مع Cloudflare Turnstile. بديل لكابتشا التقليدية لا يطلب من المستخدمين حل ألغاز. يحلل إشارات المتصفح في الخلفية. يمكن ضبطه ليقدم تحدياً مرئياً فقط عند الاشتباه. للمستخدمين الحقيقيين، يبقى غير مرئي. دمجت المنصة التقنية الخدمة بسهولة بفضل دعم نظام المصادقة المستخدم. الأزرار تبقى معطلة حتى يقدم Turnstile رمزاً صحيحاً. توقف تسجيل الروبوتات فوراً.

حتى مع وجود Turnstile، أراد الفريق الحد من الضرر إذا تكرر الأمر. عدّلوا كود خدمة البريد الإلكتروني. المستخدم يتلقى رسالة واحدة فقط (رسالة التحقق) حتى ينقر على الرابط ويثبت ملكيته للعنوان. لا رسائل ترحيب، لا تحديثات للمنتج، لا شيء آخر قبل التحقق. إذا أنشأ روبوت حساباً ببريد شخص آخر، تصل الضحية رسالة واحدة. إذا تجاهلتها، ينتهي الأمر. رسالة الترحيب وكل ما بعدها لا تطلق إلا بعد تحقق المستخدم. (باستثناء التسجيلات عبر خدمات مثل جوجل أو غيت هاب، حيث يكون التحقق مسبقاً).

كان بالإمكان تجاهل تسجيل أو اثنين في الساعة. التأثير على الأعمال كان صفراً. لكنها كانت عناوين بريد إلكتروني لأشخاص حقيقيين. واستُخدمت خدمتهم ضدهم. الاعتذار للضحايا قد يكون مجرد رسالة غير مرغوبة أخرى في صندوق بريد مثقل. أفضل ما يمكن فعله هو إيقاف الهجوم والتأكد من عدم استخدام المنصة بهذه الطريقة مجدداً. تمت إضافة تقارير أفضل لاكتشاف أنماط كهذه مبكراً في المستقبل. كان يجب تطبيق هذه الإجراءات الوقائية منذ البداية. درس مستفاد.