مراقبة سجلات شفافية الشهادات (CT): الدليل الكاشف لمواقع الفنادق المزيفة مبكراً

جاء إلينا فندق منتجع في بودروم بسؤال: "هل لدينا موقع مزيف، وكيف يمكننا معرفة ذلك؟" في غضون دقائق، استخدمنا محرك البحث crt.sh للاستعلام عن سجلات CT لاسم الفندق والاختلافات القريبة منه. كانت النتيجة مقلقة: كانت هناك شهادات SSL لـ 9 نطاقات مختلفة لم يكن الفندق على علم بها، و7 منها كانت تابعة لمواقع حجوزات مزيفة نشطة.

لم تكن إدارة الفندق على علم بهذه المواقع. كانت هذه المواقع عبارة عن صفحات حجز مزيفة حيث دفع الضيوف أموالاً حقيقية ولكنهم لم يتمكنوا من تسجيل الدخول. لو تم اكتشافها في وقت مبكر، لكانت الخسائر أقل بكثير.

سجلات شفافية الشهادات (CT) هي واحدة من أكثر الطرق فعالية للكشف المبكر عن مثل هذه التهديدات. في هذه المقالة، نشرح خطوة بخطوة ما هي سجلات CT، وكيف تعمل، وكيف يمكنك استخدام هذا النظام لحماية فندقك.

شفافية الشهادات (Certificate Transparency) هي نظام تدقيق مفتوح بدأته Google في عام 2013 وأصبح اليوم أحد الركائز الأساسية لأمن الإنترنت. يجبر هذا النظام هيئات إصدار شهادات SSL/TLS على إضافة كل شهادة يصدرونها إلى سجل عام غير قابل للتغيير (log).

المنطق الأساسي للنظام هو: إذا كان بإمكان الجميع رؤية الشهادات التي تم إصدارها لأي نطاقات، يصبح من الأسهل بكثير اكتشاف الشهادات المزيفة أو التي تم الحصول عليها بنوايا خبيثة.

يتفق خبراء الصناعة على أن هذه الآلية هي واحدة من أهم نقاط التحول في تاريخ أمن الويب. أولاً، جعلت المتصفحات الكبرى هذه الشهادات إلزامية، ثم اضطرت هيئات إصدار الشهادات إلى الانضمام إلى النظام. اعتبارًا من اليوم، يتم تسجيل جميع الشهادات الصادرة في العالم تقريبًا في سجلات CT.

عندما يرغب شخص ما في الحصول على شهادة SSL لموقع ويب، تقوم هيئة إصدار الشهادات (مثل Let's Encrypt أو DigiCert أو Sectigo) بإنشاء الشهادة وإرسال معلومات تسجيل هذه الشهادة إلى خادم أو أكثر من خوادم سجلات CT. يتلقى خادم السجل هذا السجل، ويعالجه بختم زمني، وينشئ رمز تأكيد (Signed Certificate Timestamp — SCT). لا تعتبر المتصفحات الشهادة موثوقة بالكامل دون التحقق من هذا الرمز.

تعني هذه العملية أنه عندما يحصل مهاجم على شهادة لنطاق يحتوي على اسم فندقك أو شكل مشابه له، تسقط هذه المعلومات في سجلات CT في غضون دقائق. وهذه السجلات متاحة للجميع.

في بحثنا، وجدنا أن مواقع الفنادق المزيفة تحصل عادةً على شهادات بعد 24-48 ساعة من تسجيل النطاق. تمنحك مراقبة سجلات CT الفرصة للرد خلال هذه الفترة.

crt.sh هي واجهة ويب تديرها Comodo CA وتسمح لأي شخص بالبحث بحرية في سجلات CT. إنها واحدة من أكثر الأدوات المجانية التي يلجأ إليها أصحاب الفنادق وفرق الأمن.

هناك عدة طرق للبحث في واجهة crt.sh:

• اسم النطاق الكامل: عند كتابة "otelnizinadi.com"، سيتم عرض الشهادات التي تم الحصول عليها لذلك النطاق فقط.
• بحث البدل (Wildcard): سيعرض بحث مثل "%otelnizinadi%" الشهادات لجميع النطاقات التي تحتوي على اسم الفندق. هذه الطريقة أكثر فعالية بكثير في العثور على حالات انتحال العناوين.
• بحث اسم المؤسسة: إذا تم الحصول على الشهادات باسم المؤسسة، فيمكن العثور عليها باستخدام طريقة البحث هذه.

تظهر المعلومات التالية في نتائج البحث:

• معرف الشهادة: يحدد الشهادة بشكل فريد.
• تاريخ التسجيل: يوضح متى تم الحصول على الشهادة.
• اسم النطاق (Common Name / SAN): النطاق الذي تم إصدار الشهادة له.
• هيئة إصدار الشهادة: من أصدرها.

في تجربة أحد عملائنا، عندما أجرى استعلام crt.sh لأول مرة لفندقه، وجد 14 سجلاً لشهادات لأسماء نطاقات مختلفة تحتوي على اسم فندقه. كانت الغالبية العظمى من هذه النطاقات تابعة لمواقع حجوزات مزيفة نشطة.

تحذر المتصفحات الحديثة المستخدم عند الدخول إلى مواقع لا تحتوي على شهادة SSL. هذا التحذير يجعل الضيوف يعتبرون الموقع غير آمن. لهذا السبب، يجب على المحتالين الحصول على شهادة لمواقعهم المزيفة - ويجب تسجيل هذه الشهادة في سجلات CT.

يتم تحديث سجلات CT بمجرد الحصول على الشهادة. قبل أن يكتشف الضيوف الموقع المزيف، يمكن لنظام مراقبة سجلات CT الخاص بك أن ينبهك.

هذه السجلات متاحة للجميع. من الممكن الوصول إلى هذه البيانات حتى بدون أنظمة أمنية باهظة الثمن.

يشير خبراء الصناعة إلى أن المراقبة المنتظمة لسجلات CT هي آلية الإنذار المبكر الأكثر موثوقية في الكشف عن المواقع المزيفة. يمكن العثور على المواقع المزيفة التي لا يمكن اكتشافها لأسابيع بالطرق اليدوية في غضون ساعات من خلال مراقبة سجلات CT التلقائية.

عند تقييم النتائج من بحث سجل CT، ركز على النقاط التالية:

يجب فحص الشهادات التي تم الحصول عليها في آخر 7-30 يومًا كأولوية. من المحتمل أن تكون الشهادات القديمة لمواقع معروفة بالفعل أو انتهت صلاحيتها.

يجب فحص كل نطاق يحتوي على اسم فندقك أو أشكاله القريبة بعناية. على وجه الخصوص، التراكيب مثل "rezervasyon" (حجز)، "booking"، "otel adı + şehir" (اسم الفندق + المدينة) هي أنماط يجب التعامل معها بشك.

Let's Encrypt هي هيئة إصدار شهادات شرعية وشائعة الاستخدام، ولكن نظرًا لأنها مجانية، فهي أيضًا خيار مفضل لمشغلي المواقع المزيفة. شهادة Let's Encrypt ليست علامة على وجود مشكلة في حد ذاتها؛ ولكن عندما تقترن باسم نطاق مشبوه، فإنها تتطلب الفحص.

تغطي شهادات البدل مثل "*.oteladi.com" جميع النطاقات الفرعية. إذا حصل مهاجم على مثل هذه الشهادة، فقد يكون يدير عدة نطاقات فرعية مزيفة في نفس الوقت.

يمكن إجراء البحث اليدوي مرة واحدة في الأسبوع أو مرة في الشهر؛ لكن هذا ليس كافيًا. يمكن أن يتسبب موقع مزيف جديد في أضرار جسيمة في غضون أيام قليلة.

هناك عدة طرق للمراقبة التلقائية:

المراقبة القائمة على واجهة برمجة التطبيقات (API): يوفر crt.sh واجهة برمجة تطبيقات. يمكن لفريقك الفني استخدام هذه الواجهة لإعداد استعلام تلقائي يومي واكتشاف الشهادات الجديدة المشبوهة على الفور.

خدمات المراقبة من جهات خارجية: توفر أدوات مثل Certstream وصولاً فوريًا إلى سجلات CT. يمكن تحديد عوامل تصفية لكلمات رئيسية معينة ويتم إرسال إشعار فوري عند الحصول على شهادة جديدة.

نظام المراقبة RuuSafe: تراقب المنصة سجلات CT تلقائيًا على مدار الساعة طوال أيام الأسبوع، وتقوم بالتصفية وفقًا لاسم فندقك والكلمات الرئيسية التي تحددها، وترسل إشعارات عند اكتشاف تهديدات جديدة.

1. ابحث عن اسم النطاق الذي وجدته في crt.sh باستخدام استعلام WHOIS (شركة التسجيل، تاريخ التسجيل، مالك التسجيل).
2. تجنب زيارة الموقع من متصفحك - افحصه في بيئة معزولة إذا لزم الأمر.
3. وثق محتوى الموقع، وما إذا كان يسرق اسم فندقك أو شعارك أو صورك.
4. أبلغ شركة تسجيل النطاق (registrar) بإساءة الاستخدام.
5. قدم شكوى إلى الهيئة التي أصدرت الشهادة.
6. أبلغ Google Safe Browsing و Microsoft SmartScreen.
7. أبلغ BTK و USOM.

إذا كنت ترغب في بدء إجراءات قانونية، يمكنك العثور على خارطة طريق خطوة بخطوة في مقالتنا حول الإجراءات القانونية ضد مواقع الفنادق المزيفة.

امتلاك المعرفة أمر قيم، لكن المعرفة وحدها لا توفر الحماية بدون ممارسة منتظمة. نوصي بالإطار التالي لتحويل مراقبة سجلات CT إلى روتين:

في بداية كل أسبوع، قم بإجراء عمليات البحث التالية على crt.sh:

• "%otelnizinadi%" — جميع النطاقات التي تحتوي على اسم فندقك.
• "%oteladi-rezervasyon%"، "%oteladi-booking%" — التراكيب المزيفة الشائعة.
• أكثر الاختلافات شيوعًا في كتابة اسم فندقك.

قارن النتائج مع الأسبوع السابق. هل هناك أي شهادات مضافة حديثًا؟

في بداية كل شهر، قم بإجراء استعلام أوسع. اعرض جميع الشهادات التي تم الحصول عليها في الشهر السابق وافحص كل واحدة على حدة. ركز بشكل خاص على النطاقات المسجلة حديثًا (المسجلة في آخر 30 يومًا).

عندما تتلقى شكاوى غير عادية من الضيوف أو ترى محتوى سلبيًا حول اسم علامتك التجارية على وسائل التواصل الاجتماعي، قم بإجراء استعلام سجل CT على الفور. غالبًا ما تكشف هذه العلامات عن عملية موقع مزيف نشطة.

إذا كانت لديك القدرة الفنية، يمكنك إعداد إشعارات في الوقت الفعلي من خلال دمج واجهة برمجة تطبيقات crt.sh في أنظمتك الخاصة. هذا التكامل بسيط جدًا:

قم بإنشاء مهمة cron (مهمة مجدولة) تستعلم عن الشهادات الجديدة التي تم الحصول عليها لنطاق ما. يمكن ضبط هذه المهمة للتشغيل كل 6 ساعات. عند اكتشاف شهادة جديدة، يتم إرسال إشعار عبر البريد الإلكتروني أو Slack.

من بين الأدوات مفتوحة المصدر، يعد Certstream بديلاً قويًا بشكل خاص. يوفر Certstream تدفق WebSocket في الوقت الفعلي إلى سجلات CT. يمكنك تحديد عوامل تصفية لكلمات رئيسية معينة؛ كل شهادة جديدة تحتوي على اسم فندقك تأتي كإشعار فوري.

يقلل هذا النوع من الأتمتة وقت الاستجابة من بضعة أيام إلى بضع ساعات مقارنة بالعمليات اليدوية. في بحثنا، وجدنا أن الفنادق التي تستخدم مراقبة CT التلقائية تكتشف المواقع المزيفة في متوسط 4.7 ساعات، بينما استغرق أولئك الذين يقومون بالفحص اليدوي 18-23 يومًا.

ليست كل شهادة غير معروفة يتم العثور عليها عند البحث في سجلات CT تهديدًا. بعض مصادر الإيجابيات الكاذبة الشائعة:

الأنظمة القديمة والبنية التحتية للبريد الإلكتروني: تحصل الشركات الخارجية التي تقدم خدمات البريد الإلكتروني للفندق أحيانًا على شهادات عبر نطاقات مختلفة.

الشركاء والموزعون: تستخدم وكالات السفر أو منصات الحجز أحيانًا تكوين نطاق فرعي يحتوي على اسم الفندق.

المواقع القديمة المؤرشفة: قد تظهر الشهادات التي تم الحصول عليها لنطاق قديم تم استخدامه في الماضي ولا تزال مسجلة في القائمة.

عندما تكتشف شهادة مشبوهة، قم أولاً بإجراء استعلام WHOIS. يقدم مالك التسجيل وتاريخ التسجيل أدلة مهمة حول ما إذا كانت هذه الشهادة شرعية أم خبيثة. تتطلب النطاقات المسجلة حديثًا أو التي تم إخفاء معلومات ملكيتها أو التي تستخدم خدمة الخصوصية عادةً فحصًا أكثر دقة.

تعد مراقبة سجلات CT أداة قوية، لكنها لا توفر حماية كاملة بمفردها. النهج الأكثر فعالية هو الجمع بين مراقبة CT وأنظمة الإنذار المبكر الأخرى.

تُظهر سجلات CT فقط النطاقات التي تم الحصول على شهادات لها. إذا قام مهاجم بإنشاء موقع مزيف بدون شهادة (صفحة تصيد من النوع القديم تعمل عبر HTTP) أو لم يحصل على شهادة بعد، فلن يظهر في سجلات CT.

تقوم أدوات مراقبة النطاقات مثل DNSTwist وما شابهها بإنشاء جميع أشكال انتحال العناوين المحتملة لاسم فندقك والتحقق مما إذا كانت مسجلة. تراقب هذه الأداة تسجيل النطاق بغض النظر عما إذا تم الحصول على شهادة أم لا.

يغطي استخدام مراقبة CT ومراقبة النطاقات معًا ناقلي هجوم مختلفين في وقت واحد.

ترسل تنبيهات Google إشعارات عندما تبدأ صفحات الويب التي تحتوي على اسم فندقك في الظهور في محركات البحث. قد لا تكون بعض المواقع المزيفة قد تمت فهرستها بعد بواسطة Google بعد ظهورها في سجلات CT؛ أو العكس، قد لا تظهر المواقع التي تستخدم شهادة قديمة في سجل CT ولكنها تحتل مرتبة في Google.

تنشئ الفنادق التي تستخدم كلا النظامين شبكة مراقبة أكثر شمولاً بكثير مقارنة بتلك التي تستخدم واحدًا فقط.

تصل بعض المواقع المزيفة إلى الضيوف ليس من خلال محركات البحث، ولكن مباشرة من خلال الإعلانات على وسائل التواصل الاجتماعي. قد يكون الفاصل الزمني بين ظهور هذه المواقع في سجلات CT والإعلان النشط على وسائل التواصل الاجتماعي قصيرًا جدًا.

تتتبع أدوات مراقبة وسائل التواصل الاجتماعي مثل Brand24 أو Mention أو Talkwalker كل محتوى يتم فيه ذكر اسم علامتك التجارية على وسائل التواصل الاجتماعي. إن تقييم المشاركات المشبوهة من هذه الأدوات جنبًا إلى جنب مع تنبيهات الشهادات الجديدة من سجلات CT يكشف عن عمليات المواقع المزيفة بسرعة أكبر بكثير.

ليس كل فندق بنفس الحجم لديه نفس القدرة. فيما يلي توصيات عملية لأحجام مختلفة.

يوفر استعلام crt.sh اليدوي الأسبوعي حماية أساسية كافية. يعد إعداد تنبيهات Google لاسم الفندق و 2-3 من أكثر أشكاله شيوعًا أمرًا مجانيًا وعمليًا أيضًا.

فحص سجل CT متعمق شهريًا + فحص سريع أسبوعيًا. إذا كان هناك فريق فني، فإن تكامل واجهة برمجة تطبيقات crt.sh يوفر إمكانية الاستعلام التلقائي اليومي.

تكامل Certstream في الوقت الفعلي أو منصات مراقبة متخصصة مثل RuuSafe. المراقبة المتزامنة لأسماء ومواقع فنادق متعددة إلزامية.

فيما يلي النتائج البارزة من بحثنا الذي أجريناه في قطاع الفنادق التركي:

• في ثلاثة وستين بالمائة من الفنادق التي تم فحصها، تم اكتشاف شهادة SSL واحدة على الأقل تحتوي على اسم الفندق وتم الحصول عليها من مصادر غير معروفة.
• كان أربعون بالمائة من هذه الشهادات تابعة لصفحة حجز مزيفة نشطة بعد أسبوع من الحصول على الشهادة.
• متوسط وقت الكشف في الفنادق التي تقوم بالمراقبة غير الآلية هو 23 يومًا؛ أولئك الذين يستخدمون مراقبة سجلات CT التلقائية يقللون هذا الوقت إلى أقل من 6 ساعات.

بالإضافة إلى مراقبة سجلات CT، فإن تعلم كيفية تقييم شهادات SSL يعزز عملية الكشف بشكل أكبر. يمكنك العثور على الاختلافات بين أنواع شهادات DV و OV و EV ونوع الشهادة المستخدمة في المواقع المزيفة في هذا الدليل.

عندما تكتشف شهادة مشبوهة، قد يكون من الضروري التحقيق في البنية التحتية للخادم الأساسي. يمكنك إلقاء نظرة على دليلنا الفني الذي يشرح كيفية العثور على عناوين IP الحقيقية للمواقع المزيفة خلف Cloudflare CDN. التحقق المتبادل من الكشف مع تقرير الشفافية من Google يعزز أيضًا عملية المراقبة.

هل هناك أي أدوات بحث أخرى لسجلات CT إلى جانب crt.sh؟ نعم. يقدم تقرير الشفافية من Google بيانات سجل CT بواجهة مختلفة. تتوفر أيضًا أدوات مثل Certspotter و Facebook CT API. للوصول البرمجي، واجهة برمجة تطبيقات crt.sh سهلة الاستخدام مع دعم تنسيق JSON؛ وهي مجانية ولا تتطلب التسجيل.

كم من الوقت يستغرق ظهور الشهادة في سجلات CT بعد الحصول عليها؟ تقوم معظم هيئات إصدار الشهادات (CAs) بإرسال سجل إلى سجلات CT بمجرد إصدار الشهادة. يمكن أن يستغرق هذا من بضع ثوانٍ إلى بضع دقائق. تلتقط أدوات التدفق في الوقت الفعلي مثل Certstream سجلات الشهادات الجديدة على الفور تقريبًا.

هل تتطلب مراقبة سجلات CT أي مسؤولية قانونية؟ لا. سجلات CT هي بيانات عامة؛ يمكن الاستعلام عنها دون أي تسجيل أو مصادقة. تستخدم هذه البيانات بحرية من قبل الوكالات الحكومية والباحثين الأمنيين والشركات.

لقد اكتشفت شهادة مزيفة؛ هل يمكنني إلغاؤها؟ إذا تم إصدار الشهادة لنطاقك الخاص، فيمكنك تقديم إشعار احتيال من خلال جهة التسجيل الخاصة بك. لا يمكنك إلغاء شهادة صادرة لنطاق جهة خارجية مباشرة؛ ولكن يمكنك بدء العملية عن طريق إرسال إشعار إساءة استخدام إلى المرجع المصدق (CA) (على سبيل المثال، Let's Encrypt). من الضروري أيضًا بدء إجراءات إزالة النطاق بالتوازي.

استعلم مجانًا عن شهادات SSL المشبوهة المتعلقة بفندقك. تقوم أداة مراقبة سجلات CT من RuuSafe بإعلامك على الفور عند الحصول على شهادة جديدة لاسم علامتك التجارية. ابدأ الفحص الأول الآن.