كشفت حملة EvilTokens الأخيرة التي استهدفت الشركات في جميع أنحاء الولايات المتحدة وأوروبا عن نقطة عمياء جديدة لأمن البريد الإلكتروني. تعمل تقنية “التصيد الشبحي” هذه على إبقاء الصفحة الضارة مخفية حتى يتم فك تشفيرها وتنشيطها داخل متصفح الضحية.
بالنسبة لقادة الأمان، فإن الخطر واضح: قد تفشل عمليات التحقق من عنوان URL التقليدية في الهجوم بينما يكون الوصول إلى Microsoft 365 والبيانات الحساسة ووقت الاستجابة على المحك بالفعل.
البريد الإلكتروني يبدو آمنا. المتصفح يحكي قصة مختلفة
يُظهر هجوم EvilTokens الأخير كيف يمكن أن يبدو رابط التصيد الاحتيالي غير ضار أثناء الفحص الأولي بينما لا يزال يؤدي إلى الاستيلاء على حساب Microsoft 365.
تستخدم المجموعة التصيد الاحتيالي لرمز جهاز Microsoft لإقناع الضحايا بإكمال تدفق تسجيل الدخول الشرعي لـ Microsoft والسماح بالوصول إلى حساباتهم دون علمهم. لا يحتاج لسرقة كلمة المرور مباشرة.
ويظل الهجوم الحقيقي مخفيًا حتى تفتح الصفحة في المتصفح. يتم تشفير HTML الخاص به باستخدام AES-GCM ويصبح مرئيًا فقط بعد أن يقوم المتصفح بفك تشفيره وعرض محتوى التصيد الاحتيالي في DOM.
ونتيجة لذلك، قد تلتقط عمليات التحقق من عنوان URL الثابت وعناصر التحكم على مستوى الشبكة الاستجابة الأولية دون رؤية ما يراه الموظف فعليًا. This visibility gap can lead to:
- التعرض لفترة أطول للاستيلاء على حساب Microsoft 365
- تأخر الاحتواء وقرارات الرد
- الوصول غير المصرح به
- أكثر غير مؤكد تصاعدت التنبيهات الى كبار المحللين
- التحقيق العالي عبء العمل والتكاليف التشغيلية
- أدلة غير كاملة لعرقلة البنية التحتية ذات الصلة
ومع ذلك، تم الكشف عن تدفق الهجوم الكامل داخل صندوق الحماية التفاعلي الخاص بـ ANY.RUN. استكشف جلسة التحليل لمعرفة ما كشفه المتصفح وكيف يمكن للفرق استخدام هذه الأدلة للاستجابة بشكل أسرع.
تحقق من هجوم EvilTokens الأخير واحصل على شهادات IOC ذات الصلة
![]() |
| تم الكشف عن التصيد الاحتيالي المعقد داخل صندوق الحماية الخاص بـ ANY.RUN |
تُظهر استخبارات التهديدات الخاصة بـ ANY.RUN أن نشاط EvilTokens الأخير يتركز في جميع أنحاء الولايات المتحدة وأوروبا، ويستهدف التكنولوجيا والتصنيع والتعليم والخدمات المصرفية والاستشارات والخدمات المالية ومقدمي خدمات الأمن المُدارة.
![]() |
| يُظهر TI الخاص بـ ANY.RUN نشاط التهديد الذي يستهدف مناطق معينة |
من الصعب تجاهل التداخل. استنادًا إلى بيانات تقديمات وضع الحماية الخاصة بـ ANY.RUN من 15000 مؤسسة، بلغ معدل التعرض للتصيد الاحتيالي في عام 2026 75.6% في الاستشارات، 72.8% في الخدمات المالية، 71.9% في التصنيع، 67.9% في التكنولوجيا، 66.7% في الخدمات المصرفية، و66.1% بين MSSPs.
وهذا يجعل التصيد الاحتيالي الخفي خطيرًا بشكل خاص على هذه القطاعات. يمكن أن يؤدي حساب Microsoft 365 الذي تم اختراقه إلى الكشف عن البيانات الحساسة، وتمكين اختراق البريد الإلكتروني الخاص بالعمل والاحتيال، وتحفيز الاستجابة للحوادث المكلفة.
كلما طالت فترة بقاء الهجوم مخفيًا، زادت فرصة أن يصبح أحد الحسابات حادثًا تجاريًا أوسع نطاقًا.
توقف عن التصيد الاحتيالي المخفي قبل أن يكلف عملك.
تقليل التعرض وتكاليف الحوادث ومخاطر الاستيلاء على الحساب.
اجعل الشبح مرئيًا قبل أن تدفع الشركة الثمن
الطريقة الأكثر فعالية لكشف التصيد الاحتيالي هي فتح الروابط المشبوهة في وضع الحماية الذي يدعم فحص البيانات داخل المتصفح.
داخل صندوق الحماية التفاعلي الخاص بـ ANY.RUN، يتجاوز المحللون استجابة AES-GCM المشفرة ويرون ما يحدث بعد فك تشفير الصفحة. ويمكنهم مشاهدة محتوى التصيد الاحتيالي الذي يظهر في DOM، وربط التغيير بطلب Fetch/XHR، وتتبع رمز جهاز Microsoft مرة أخرى إلى نقطة النهاية /api/device/start.
![]() |
| يتم عرض HTML DOM الذي تم فك تشفيره في لوحة فحص البيانات داخل المتصفح |
يؤدي عرض البيانات داخل المتصفح إلى جلب تدفق الهجوم الكامل إلى تحقيق واحد:
- تظهر لقطات DOM عندما تتغير الصفحة المخفية ويظهر رمز المستخدم.
- تكشف طلبات HTTP عن الاتصال الخلفي خلف تدفق رمز الجهاز.
- تكشف تفاصيل عنوان URL عن الوجهة النهائية وتوقيعات الاكتشاف المُثارة.
- توفر المؤشرات النطاقات ونقاط النهاية والتجزئة والبنية التحتية لمزيد من البحث.
بدلاً من إعادة بناء الهجوم يدويًا، تحصل الفرق على دليل مباشر حول كيفية تصرف الصفحة، وما تطلبه، وما هي العناصر التي تدعم الاحتواء والكشف.
![]() |
| لقطات DOM تعرض الكود الذي تم فك تشفيره |
من الأدلة على مستوى المتصفح إلى تسليم أكثر وضوحًا لـ SOC
لنقل هذا الدليل من المستوى 1 إلى المستوى 2، يقوم التحقيق تلقائيًا بإنشاء تقرير يتضمن ملخصًا للذكاء الاصطناعي والخطوات التالية الموصى بها.
![]() |
| تقرير تم إنشاؤه تلقائيًا من جلسة تحليل EvilTokens |
بدلاً من إعادة بناء الحالة من بيانات المتصفح الأولية، يتلقى كبار المحللين النتائج الرئيسية والسلوك الملحوظ والمؤشرات وسياق الاستجابة في مكان واحد. وهذا يجعل عمليات التسليم أسرع، ويقلل العمل المتكرر، ويساعد الفرق على الانتقال من التحقق من الصحة إلى الاحتواء مع تأخير أقل.
أوقف التصيد الاحتيالي في المتصفح قبل أن يصل إلى العمل
تكشف قضية EvilTokens حقيقة غير مريحة: يمكن لرسالة البريد الإلكتروني اجتياز الفحص بينما ينتظر الهجوم الحقيقي داخل المتصفح.
بدون الرؤية على مستوى المتصفح، تضطر SOC إلى اتخاذ قرارات عالية المخاطر بأدلة جزئية. يمنح هذا التأخير المهاجمين مزيدًا من الوقت للوصول وتوسيع نطاق وصولهم وتحويل حساب Microsoft 365 المخترق إلى حادث عمل مكلف.
وهذا يساعد قادة الأمن:
- تقليص نافذة التعرض قبل أن يصبح الحساب المخترق حادثًا أوسع نطاقًا
- من خلال إعطاء المستوى الأول أدلة كافية لحل المزيد من الحالات
- تسريع الاحتواء مع سياق الهجوم الكامل المتاح من التصعيد الأول
- تحسين تغطية الكشف باستخدام سلوك المتصفح والبنية التحتية وأنماط الهجوم المتكررة
- خفض تكلفة الاستجابة للتصيد الاحتيالي عن طريق قطع التحقيق اليدوي والعمل المكرر
- اتخاذ قرارات المخاطر مع الأدلة بدلاً من الاعتماد على عمليات المسح النظيفة أو الأحكام غير الحاسمة
لم تعد عمليات التصيد الاحتيالي الحديثة تكشف عن نفسها بشكل كامل في البريد الإلكتروني أو الاستجابة الأولية لعنوان URL. تحتاج فرق الأمان إلى رؤية تتبع الهجوم على المتصفح وتكشفه قبل أن تدفع الشركة الثمن.
تقليل تعرض الأعمال: امنح المحللين أدلة المتصفح الكاملة لاحتواء التصيد الاحتيالي بشكل أسرع ومنع حساب واحد تم اختراقه من التصعيد إلى حادث مكلف.





