ملخص تهديدات الأمن السيبراني15-12-2025

يوم حافل بتحديثات مباشرة على ساحة التهديدات: أولوية جديدة لثغرات برمجية في 2025، قناة جانبية عتادية عبر أقراص SSD تكشف سلوك المستخدمين، تحول تكتيكات الفدية في المصانع نحو السرقة والابتزاز، وخدعة تصيّد تستغل إشعارات باي بال الرسمية.

الثغرات البرمجية: قائمة CISA 2025

  • تصدرّت ثغرات تنفيذ أوامر عبر المواقع XSS للسنة الثانية.
  • تلتها حقن SQL، CSRF، نقص التحقق من الصلاحيات، وكتابة البيانات خارج الحدود.
  • ظهرت لأول مرة ثغرات تجاوز سعة الذاكرة ضمن القائمة.
  • تؤكد التحذيرات أن استغلال هذه الثغرات يسبب أضرارًا كبيرة.

المتأثرون: مطورو البرمجيات، مسؤولو الأنظمة، ومستخدمو التطبيقات.

توصيات

  • مراجعة الأنظمة والتطبيقات بحثًا عن هذه الثغرات.
  • تحديث البرمجيات وتفعيل حلول الحماية المناسبة.
  • مراقبة سجلات الأنظمة بشكل دوري.

قناة جانبية في أقراص SSD تكشف سلوك المستخدمين

  • دراسة حديثة أظهرت إمكانية استخدام أقراص SSD الشائعة كقناة جانبية لتسريب بيانات عن سلوك المستخدم.
  • الطريقة تعتمد على قياس تأخير العمليات عند الضغط على القرص لرصد نشاط الضحية.
  • إثبات إمكانية بناء قناة خفية بين العمليات حتى عبر الأجهزة الافتراضية وأنظمة تشغيل مختلفة.
  • القناة قد تكشف مواقع الويب التي يزورها المستخدم بدقة عالية (F1 يصل 97%).
  • لا تتطلب صلاحيات عالية أو وصولًا مباشرًا لبيانات الضحية.

المتأثرون: مستخدمو أقراص SSD الحديثة على الحواسيب والخوادم، خاصة في السحابة أو البيئات الافتراضية.

توصيات

  • متابعة تحديثات الشركات المصنعة لأقراص SSD.
  • تقليل مشاركة الموارد مع أطراف غير موثوقة على نفس الجهاز أو الخادم.

تطور هجمات الفدية على قطاع التصنيع

  • تحول في الأساليب نحو سرقة البيانات والابتزاز بدل التشفير الكامل.
  • الاختراق يبدأ أساسًا باستغلال الثغرات، يليه البريد الإلكتروني الخبيث.
  • انخفاض حوادث التشفير إلى 40% مقابل زيادة تهديدات نشر البيانات.
  • متوسط الفدية المدفوعة وصل إلى مليون دولار، وتكاليف التعافي الإجمالية إلى 1.3 مليون دولار.
  • فرق الأمن تواجه ضغطًا نفسيًا وعمليًا متزايدًا رغم تحسن سرعة الاستجابة.

المتأثرون: شركات التصنيع، خصوصًا من لديهم ثغرات غير معالجة أو ضعف في الضوابط.

توصيات

  • تحديث الأنظمة وسد الثغرات فورًا.
  • تعزيز النسخ الاحتياطي القابل للاستعادة.
  • تدريب الموظفين على اكتشاف الرسائل الخبيثة.
  • وضع خطة استجابة للحوادث.

تصيّد يستغل إشعارات باي بال

  • خدعة بريد إلكتروني تستخدم ميزة الاشتراكات لإرسال تنبيهات شراء وهمية.
  • استغلال حقل عنوان خدمة العملاء لعرض رسالة شراء مزيفة مع رقم هاتف احتيالي.
  • الرسائل تبدو رسمية وتصل من عنوان باي بال الحقيقي [email protected] وتتجاوز مرشحات البريد العشوائي.
  • الهدف دفع الضحية للاتصال بالرقم المرفق لسرقة بيانات أو تثبيت برمجيات خبيثة.
  • لا يوجد اختراق فعلي للحسابات، بل استغلال لآلية إرسال الإشعارات.

المتأثرون: جميع مستخدمي باي بال.

توصيات

  • تجاهل أي رسالة حول اشتراك أو عملية غير معروفة.
  • عدم الاتصال بالأرقام المرفقة.
  • التحقق من الحساب مباشرة عبر موقع باي بال الرسمي.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون