🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
تسريبات البيانات
9
mins read

ما وراء الاختراق: تجاوز الضوضاء للتركيز على التهديدات الحقيقية

في يوليو 2025، قامت CloudSek بتحليل كيفية قيام المعلومات الخاطئة وبيانات الاختراق المعاد تدويرها - من المنتديات ووسائل الإعلام والباحثين - بإغراق فرق إنتل المهددة بإنذارات كاذبة. تم تضخيم الحالات البارزة مثل «تسرب 16 مليار اعتماد» وخرق ICMR باستخدام بيانات قديمة أو مزيفة. تهدر هذه الضوضاء ما يصل إلى 25٪ من وقت فرق الأمن. يقدم التقرير إطارًا واضحًا للتحقق من شرعية الاختراق وتقليل إجهاد التنبيه والتركيز على التهديدات الإلكترونية الحقيقية ذات الأولوية العالية.

أبهيشيك ماثيو
July 9, 2025
Green Alert
Last Update posted on
August 21, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك.

يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.

Schedule a Demo
Table of Contents
Author(s)
Coauthors image
كوشيك بالم
Coauthors image
أنيرود باترا

فوضى صباح الاثنين: الفرز من خلال التنبيهات «العاجلة»

إنها التاسعة صباحًا يوم الاثنين. تضيء لوحة معلومات التهديدات الخاصة بك. العناوين الرئيسية تغمر خلاصتك: «تسرب 16 مليار دولار من بيانات الاعتماد يصدم الإنترنت!» هل هذا تهديد خطير أم مجرد ضوضاء؟ يواجه المتخصصون في مجال الأمن السيبراني والمديرون التنفيذيون والباحثون هذا السيل من التنبيهات «العاجلة» يوميًا، وغالبًا ما يطاردون المشتتات بدلاً من التهديدات الحقيقية. الضوضاء ليست فقط من المنتديات السرية، بل يمكن أن تنبع من الحملات التسويقية أو الباحثين الذين يبالغون في النتائج أو وسائل التواصل الاجتماعي التي تضخم الادعاءات التي لم يتم التحقق منها. يكشف هذا التقرير عن النظام البيئي الذي يغذي هذه الضوضاء ويقدم إطارًا لتحديد أولويات التهديدات الحقيقية.

ما هي «الضوضاء»؟
تشير الضوضاء في معلومات التهديدات إلى البيانات المبالغ فيها أو المضللة التي تم الإبلاغ عنها بشكل خاطئ على أنها انتهاكات جديدة. الأنواع الثلاثة الرئيسية هي:

  • الاختراقات المعاد تدويرها: تمت إعادة تجميع البيانات القديمة على أنها جديدة، غالبًا من حوادث عمرها سنوات.
  • البيانات العامة المسحوبة: تم جمع المعلومات العامة، مثل حادثة تجريف LinkedIn في يونيو 2021، على نطاق واسع، منتهكة شروط الخدمة ولكن ليس الأنظمة.
  • سجلات Infostealer المعاد تدويرها: مجموعات من بيانات الاعتماد المسروقة من الأجهزة المصابة بالبرامج الضارة، مثل تسريب بيانات الاعتماد «16 مليار دولار»، والتي غالبًا ما يتم الخلط بينها وبين خروقات الشركات.

ليست كل الانتهاكات المبلغ عنها عبارة عن ضوضاء، فبعضها حقيقي ويتطلب اتخاذ إجراءات عاجلة. يؤدي تمييز هذه العناصر إلى توفير الموارد والوقت لفرق الأمان.

النظام البيئي للمعلومات المضللة: أين تبدأ الضوضاء

غالبًا ما تنشأ الضوضاء في المنتديات السرية ولكن يتم تضخيمها من خلال وسائل الإعلام المثيرة أو التقارير القائمة على التسويق أو الباحثين الذين يبحثون عن الاهتمام. يعد فهم هذا النظام البيئي أمرًا أساسيًا لتصفية الإشارات من الضوضاء.

تأثير إزالة المنتدى
عندما تغلق سلطات إنفاذ القانون المنتديات السرية الرئيسية، مثل BreachForums في مايو 2024، يتشكل فراغ في السلطة. تتنافس المنتديات المتنافسة لجذب المستخدمين النازحين من خلال إصدار مجموعات بيانات «جديدة»، وغالبًا ما يتم تقديم الانتهاكات المعاد تدويرها مجانًا لتعزيز عمليات الاشتراك. هذا التدفق من البيانات القديمة يخلق ضجيجًا ينتشر خارج المنتديات. في يونيو 2025، اعتقلت السلطات الفرنسية خمسة مشغلين رئيسيين لـ BreachForums، بما في ذلك «ShinyHunters» و «IntelBroker»، في غارات منسقة عبر باريس ونورماندي وريونيون. وأدت هذه الاعتقالات، التي تستهدف المسؤولين المرتبطين بتسريب البيانات البارزة، إلى مزيد من تعطيل عمليات المنتدى، مما أدى إلى تكثيف التدافع بين المنصات المتنافسة لملء الفراغ.

مصداقية المصدر والمعلومات المضللة
تعمل الجهات الفاعلة في مجال التهديد على بناء المصداقية من خلال تنظيم مجموعات البيانات، ولكن لا يمكن الاعتماد على جميع المصادر. على سبيل المثال، يُعرف منتدى الويب المظلم الصيني Chang'an بإعادة تدوير البيانات القديمة وتلفيق الاختراقات بأسماء مؤسسات عشوائية، مما يخلق نوعًا فريدًا من الضوضاء. تؤدي العناوين المثيرة أو تسويق البائعين أو الباحثين الذين يبالغون في النتائج (على سبيل المثال، الادعاء بـ «خرق 184 مليون اعتماد») إلى تضخيم هذه الضوضاء، وغالبًا ما تفتقر إلى السياق وتثير الذعر. يجب أن يكون تقييم مصداقية وموثوقية المصدر سواء كان المنتدى أو الباحث أو وسيلة الإعلام هو السؤال الأول الذي يُطرح لتصفية الضوضاء.

فك تشفير الإنذارات الكاذبة: ستة أمثلة من العالم الحقيقي

الحالة 1: تسريب «16 مليار اعتماد»
  • العنوان الأولي (يونيو 2025): «أكبر تسرب لبيانات الاعتماد في التاريخ»
لقطة شاشة لبعض عناوين الأخبار
  • الواقع: إن تسرب بيانات الاعتماد البالغ 16 مليار دولار، والذي تم الإبلاغ عنه على نطاق واسع في يونيو 2025، ليس خرقًا جديدًا ولكنه عملية دمج تجمع سجلات السارق القديمة وانتهاكات قاعدة البيانات، كما لاحظت BleepingComputer. يشير التحليل، بما في ذلك من Hudson Rock، إلى أن مجموعة البيانات تحتوي على إدخالات تم التلاعب بها أو ملفقة، مع عدم وجود دليل يدعم الادعاءات بوجود 320 مليون جهاز مخترق مطلوب لجمع 16 مليار اعتماد. من المحتمل أن يتضمن الحجم الهائل نسخًا مكررة كبيرة، كما هو شائع في مثل هذه المجموعات، مع إقرار Cybernews بأن السجلات المتداخلة عبر مجموعات البيانات الثلاثين تجعل من المستحيل تحديد العدد الدقيق للحسابات الفريدة المتأثرة. تكهن Bleeping Computer بالطبيعة المعاد تدويرها دون تأكيد نهائي، مما يعكس عدم اليقين المستمر في تحديد النطاق الكامل لمجموعة البيانات وأصلها.
لقطة شاشة للأخبار التي نشرتها bleeping كمبيوتر دحض الادعاءات الكاذبة
  • إنتل إنسايت: يتطلب المجمولون الذين تم المبالغة فيهم التحقق الدقيق من الصحة. قد تكون بعض أوراق الاعتماد صالحة، لكن التهديد ينبع من العدوى الفردية، وليس من حل وسط مؤسسي. حدد أولويات عمليات التحقق من إعادة استخدام كلمة المرور على عزل الشبكة.
مثال على كيفية استغلال الجهات الفاعلة في مجال التهديد الفرصة لتلفيق الانتهاكات وجذب الانتباه. المصدر: Xvigil

الحالة 2: LinkedIn - «تسرب 700 مليون مستخدم» الذي لن يموت

  • العنوان الأولي (2021): «تم اختراق LinkedIn - تم الكشف عن 700 مليون مستخدم»
  • الواقع: لا يوجد اختراق. قام المهاجمون بمسح بيانات الملف الشخصي العام باستخدام LinkedIn API وبرامج زحف الويب. تضمنت البيانات الأسماء والمسمى الوظيفي ورسائل البريد الإلكتروني وأرقام الهواتف (في الأماكن العامة) وما إلى ذلك.
لقطة شاشة لـ أبلغ عن تحليل خرق بيانات لينكد إن لعام 2021

  • إعادة الظهور (2024-25): تمت إعادة نشر نفس البيانات المسروقة على المنتديات السرية وقنوات تيليجرام، مع ادعاءات جديدة بحدوث «خرق جديد». رددت وسائل الإعلام والبائعون هذا الادعاء دون التحقق من نضارة المصدر.
لقطة شاشة لمنتدى سري يعيد نشر البيانات القديمة للدعاية في 14 يونيو 2025

  • إنتل إنسايت: عالج المكبات التي عادت إلى السطح بالتدقيق. غالبًا ما تتم إعادة تسمية البيانات المعاد تدويرها لتبدو جديدة. قم ببناء أدوات داخلية لتتناسب مع التسريبات المعروفة وتجنب إجهاد التنبيه.

الحالة 3: تويتر - «تسرب 400M» الذي رفضته X

  • العنوان الأولي (ديسمبر 2022): «اختراق تويتر - 400 مليون بيانات مستخدم للبيع»
  • الواقع: لم يكن «تسرب 400 مليون بيانات على تويتر» الذي تم الإبلاغ عنه خرقًا لأنظمة تويتر الداخلية، ولكنه مجموعة بيانات تم تجميعها من خلال ثغرة أمنية في واجهة برمجة التطبيقات (API)، نشطة من يونيو 2021 إلى يناير 2022، والتي سمحت للمهاجمين بمطابقة أرقام الهواتف وعناوين البريد الإلكتروني مع معرفات مستخدمي تويتر. تم استغلال الثغرة الأمنية من قبل العديد من الجهات الفاعلة في مجال التهديد، بما في ذلك المخترق المسمى «Ryushi»، الذي عرض مجموعة البيانات بمبلغ 200,000 دولار في منتدى الجرائم الإلكترونية. تحتوي مجموعة البيانات على بيانات الملف الشخصي العام مثل أسماء المستخدمين وعدد المتابعين وعناوين البريد الإلكتروني وأرقام الهواتف ولكن لا توجد بيانات حساسة مثل كلمات المرور. بعد محاولة البيع الأولية، تم إصدار البيانات مجانًا على BreachForums في يناير 2023، مما زاد من مخاطر التصيد الاحتيالي والخداع والهندسة الاجتماعية، خاصة للمستخدمين الذين يحملون أسماء مستعارة.
لقطة شاشة لـ أبلغ عن تحليل خرق بيانات تويتر
  • التداعيات (2023—2024): عادت مجموعة البيانات إلى الظهور عدة مرات بمطالبات مبالغ فيها (حتى «1.4 مليار مستخدم» في بعض عمليات التفريغ المزيفة). قامت العديد من الجهات الفاعلة في مجال التهديد بإعادة تجميع نفس البيانات بعلامات جديدة.
لقطة شاشة لمنشور بتاريخ 7 يناير 2025 من خرق تم إغلاقه الآن - المنتديات التي تدعي أنها تقدم بيانات تويتر
  • إنتل إنسايت: تؤدي الخروقات المزيفة أو «المعاد تشغيلها» إلى تعكير الإشارة. يجب على فرق Intel أخذ بصمات الأصابع السابقة لعمليات التفريغ والتحقق من صحتها باستخدام HIBP أو قواعد بيانات التعرض الداخلي أو فحوصات OSINT.

الحالة 4: Free.fr - «تسرب بيانات العملاء بنسبة 19.2 مليون»

العنوان الأولي (أكتوبر 2024): «تم اختراق Free.fr - 19.2 مليون سجل عميل للبيع»
الواقع: أكد ISP Free.fr الفرنسي حدوث خرق يؤثر على 19.2 مليون حساب. عرض ممثل التهديد «drussellx» مجموعة بيانات بحجم 43.6 غيغابايت على BreachForums، بما في ذلك الأسماء والعناوين ورسائل البريد الإلكتروني وأرقام الهواتف و 5.11 مليون iBAN، تم تسريبها عبر ثغرة أمنية في أداة الإدارة في 17 أكتوبر 2024.لم يتم اختراق كلمات المرور أو تفاصيل البطاقة.

لقطة شاشة للمنشور الذي نشره ممثل التهديد في الوقت الحالي

التداعيات (2024—2025): كانت مجموعة البيانات، التي تم تسعيرها مبدئيًا بمبلغ 175,000 دولار، خدعة لابتزاز Free.fr، دون حدوث أي بيع. تمت إعادة نشره على منتديات الويب المظلمة وتليجرام مع إضافة ادعاءات مبالغ فيها بـ «20 مليون حساب» وبيانات اعتماد مزيفة لتعزيز القيمة. غذت البيانات المعاد تجميعها التصيد الاحتيالي والاحتيال، مما أدى إلى تآكل الثقة ودفع التدقيق في اللائحة العامة لحماية البيانات (GDPR) بشأن الإشعارات المتأخرة.

إنتل إنسايت: يمكن للجهات الفاعلة ذات المهارات المنخفضة استغلال نقاط الضعف البسيطة، وخلق ضوضاء عبر البيانات المعاد تجميعها. راقب منتديات الويب المظلمة باستخدام SocraDar، وتحقق من التسريبات باستخدام HIBP، ومجموعات بيانات بصمات الأصابع (على سبيل المثال، iBAN) لتحديد المنتجات المزيفة.

جهات تهديد متعددة تعيد نشر نفس خرق البيانات القديم، المصدر: Xvigil

الحالة 5: بولانجر - «تسرب سجلات العملاء بمقدار 27 مليونًا»

العنوان الأولي (سبتمبر 2024): «اختراق بولانجر - تم الكشف عن 27 مليون سجل»

الواقع: واجهت شركة Boulanger الفرنسية للبيع بالتجزئة هجومًا من برامج الفدية، حيث كشفت عن 27.5 مليون صف بيانات (مليون سجل فريد) مع رسائل البريد الإلكتروني والأسماء والعناوين وأرقام الهواتف وتحديد الموقع الجغرافي. باع ممثل التهديد «horrormar44" مجموعة بيانات JSON بسعة 16 جيجابايت مقابل 2000 يورو على BreachForums. لم يتم اختراق أي بيانات دفع.

التداعيات (2024—2025): بحلول أبريل 2025، تم تسريب مجموعة البيانات مجانًا على BreachForums، وانخفضت إلى 2 دولار في أرصدة المنتدى. ظهرت عمليات إعادة نشر تحتوي على تفاصيل دفع مزيفة ومطالبات بـ «30 مليون سجل»، مما أدى إلى تضخيم نطاق الاختراق. غذت هذه حملات التصيد الاحتيالي التي تتظاهر بأنها عروض ترويجية لشركة Boulanger، مما أدى إلى تضخيم الضوضاء ومخاطر الاحتيال.

جهات تهديد متعددة تعيد نشر نفس خرق البيانات القديم، المصدر: Xvigil

إنتل إنسايت: تُحدث تسريبات برامج الفدية ضجيجًا عند مشاركتها بحرية مع البيانات المبطنة. قم ببصمة البيانات الفريدة (مثل تحديد الموقع الجغرافي) واستخدم HIBP للتحقق من التسريبات. راقب منتديات الويب المظلمة لاكتشاف عمليات التفريغ المعاد تعبئتها.

القضية 6: ICMR - «تسرب 850 مليون سجل للمواطنين»

العنوان الأولي (أكتوبر 2023): «اختراق ICMR - تم الكشف عن 850 مليون بيانات مواطن هندي»الواقع: أكد المجلس الهندي للأبحاث الطبية (ICMR) حدوث خرق لـ 81.5 مليون سجل فريد عبر واجهة برمجة تطبيقات تم تكوينها بشكل خاطئ. عرض ممثل التهديد «pwn0001" مجموعة بيانات 90 جيجابايت على BreachForums مع الأسماء وأرقام Aadhaar والعناوين والبيانات الصحية.

لقطة شاشة للأخبار مقالة الإبلاغ عن خرق بيانات ICMR

التداعيات (2023—2025): تم بيع مجموعة البيانات في البداية مقابل 80 ألف دولار، وتمت مشاركتها لاحقًا مجانًا على منتديات الويب المظلمة و Telegram. ادعت الإصدارات المعاد تجميعها بتفاصيل مصرفية مزيفة وجود «مليار سجل»، مما أدى إلى تضخيم نطاق الاختراق. أدى ذلك إلى تأجيج الاحتيال والاحتيال على القروض، مما أدى إلى رفع دعاوى قضائية بموجب قانون DPDPA الهندي.

جهات تهديد متعددة تعيد نشر نفس خرق بيانات ICMR القديم، المصدر: Xvigil

إنتل إنسايت: تؤدي واجهات برمجة التطبيقات غير الآمنة إلى حدوث خروقات كبيرة، يتم تضخيمها من خلال البيانات المعاد تجميعها. استخدم HIBP وبصمات الأصابع (على سبيل المثال، أرقام Aadhaar) للتحقق من التسريبات. راقب منتديات الويب المظلمة لتتبع حملات الاحتيال.

التكاليف المخفية: كيف تضر الضوضاء بفرق الأمن

الوقت الضائع والموارد
يؤدي البحث عن الإيجابيات الكاذبة إلى استنزاف كبير للموارد، مما يستهلك ما يصل إلى 25٪ من وقت فريق الأمان. بالنسبة إلى SOC متوسط الحجم، يعني هذا فقدان 100 ساعة أسبوعيًا للتحقيق في عدم التهديدات بدلاً من التركيز على المخاطر النشطة مثل برامج الفدية أو الهجمات الداخلية.

فقدان الثقة
تؤدي الإنذارات الكاذبة المتكررة إلى تآكل ثقة القيادة، مما يجعلها تشكك في الحوادث الحقيقية. يمكن أن يؤدي ذلك إلى تأخير الاستجابات الحرجة للتهديدات الحقيقية.

أولويات مضللة
تؤدي «الانتهاكات» المفرطة، التي يتم تضخيمها من خلال العناوين المثيرة أو تقارير الموردين التي تفتقر إلى السياق، إلى تحويل الانتباه عن التهديدات الأقل إثارة ولكنها أكثر ضررًا مثل تسوية البريد الإلكتروني للأعمال (BEC) أو الهندسة الاجتماعية أو المخاطر الداخلية، والتي غالبًا ما تسبب ضررًا أكبر.

إطار الإشارة إلى الضوضاء: دليل عملي

«هل هي حقيقية؟» قائمة مرجعية
لاكتشاف الاختراقات الصاخبة، اسأل:

  • هل المصدر منتدى أو باحث أو وسيلة إعلامية غير مثبتة تسعى إلى الاهتمام؟
  • هل البيانات مجانية أم رخيصة (علامة على البيانات القديمة)؟
  • هل تعرض العينات الطوابع الزمنية القديمة؟
  • هل تنفي الشركة أي تدخل؟
  • هل البيانات عبارة عن مجموعة بيانات اعتماد عشوائية (combolist) أم قاعدة بيانات نظيفة؟
  • هل يتوافق التوقيت مع إزالة المنتدى أو الحملة التسويقية؟

دليل التحقق لفرق Intel

  1. فحص المصدر: تقييم سمعة الملصق ودوافعه، سواء كان مستخدمًا للمنتدى أو باحثًا أو وسيلة إعلامية. هل هو مصدر موثوق أم مصدر مثل Chang'an معروف بالانتهاكات الملفقة؟
  2. تحليل العينة: تحقق من عمر البيانات وتنسيقها وعلاماتها.
  3. إلغاء التكرار ووضع السياق: يجب إلغاء تكرار البيانات التي تمت إعادة ظهورها والتحقق منها ووضعها في سياقها مقابل مجموعات بيانات الخرق التاريخية لتجنب الاستجابات الزائدة عن الحاجة.
  4. مرجع تبادلي: تحقق من صحة استخدام مصادر موثوقة مثل Have I Been Pwned (HIBP) أو قواعد بيانات التعرض الداخلي أو فحوصات OSINT.
  5. تواصل مع نوانس: قم بالإبلاغ بدرجات الثقة، على سبيل المثال، «هذا يشبه الاختراق المعاد تدويره؛ مخاطر التسوية النشطة منخفضة».

منصة مراقبة التهديدات الخارجية الخاصة بنا، زيفيجيل، تقوم المراجع التبادلية بخرق الدعاوى ضد نقاط البيانات التاريخية، مما يقلل من الإيجابيات الكاذبة. هذا يزيد من التركيز على التهديدات ذات الأولوية العالية.

الخلاصة: من الفوضى إلى الوضوح

يواجه عالم الأمن السيبراني مشكلة السياق، وليس مجرد مشكلة خرق البيانات. الضوضاء الصادرة عن المنتديات السرية، أو ادعاءات الباحثين المبالغ فيها، أو التقارير الإعلامية المثيرة - مثل تلك الصادرة عن منتديات مثل Chang'an - تغذي الذعر وتهدر الموارد. من خلال التدقيق في مصداقية المصدر وإزالة البيانات المكررة واستخدام أنظمة تصفية قوية، يمكن لفرق الأمان التركيز على التهديدات الحقيقية. بالنسبة للرؤساء التنفيذيين، يضمن هذا تخصيص الموارد للأولويات الاستراتيجية، وليس الإنذارات الكاذبة. يمكن أن تؤدي الاتجاهات الناشئة، مثل بيانات الاختراق المزيفة الناتجة عن الذكاء الاصطناعي، إلى تضخيم الضوضاء، مما يجعل هذه الأنظمة أكثر أهمية. يمكن للصحفيين المساعدة من خلال التحقق من الادعاءات بالمصادر الأولية، والحد من الذعر العام.

ماذا يعني هذا بالنسبة لك

  • فرق الأمان: استخدم قائمة التحقق ودليل التشغيل لتحديد أولويات التهديدات الحقيقية.
  • المدراء التنفيذيون: اطلب السياق قبل العمل على تنبيهات الاختراق لتحسين الموارد.
  • صحفيون وباحثون: تحقق من المصادر لتجنب تضخيم الضوضاء.

مسرد المصطلحات

  • كومبوليستس: بيانات الاعتماد المسروقة من الأجهزة المصابة بالبرامج الضارة، والتي غالبًا ما يتم الإبلاغ عنها بشكل خاطئ على أنها انتهاكات للشركات.
  • كشط: جمع بيانات الموقع العامة، والتي تم تشويهها على أنها خرق.
  • دراما المنتدى: التنافس بين مستخدمي المنتدى، مما يؤدي إلى تسرب البيانات الانتقامي.
  • مصداقية المصدر: موثوقية المنتدى أو الباحث أو المنفذ الإعلامي، وهو أمر بالغ الأهمية لتقييم شرعية الخرق.

المراجع

Author

أبهيشيك ماثيو

باحث في مجال التهديدات الإلكترونية في إنتل، أتفوق في OSINT و HUMINT والهندسة الاجتماعية

Predict Cyber threats against your organization

Schedule a Demo
Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

CloudSEK XVigil

Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.

Learn more about XVigil
CloudSEK SVigil

Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.

Learn more about SVigil
CloudSEK SVigil

Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.

Learn more about BeVigil Ent
CloudSEK BeVigil

Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.

Learn more about BeVigil
خرق

ما وراء الاختراق: تجاوز الضوضاء للتركيز على التهديدات الحقيقية

في يوليو 2025، قامت CloudSek بتحليل كيفية قيام المعلومات الخاطئة وبيانات الاختراق المعاد تدويرها - من المنتديات ووسائل الإعلام والباحثين - بإغراق فرق إنتل المهددة بإنذارات كاذبة. تم تضخيم الحالات البارزة مثل «تسرب 16 مليار اعتماد» وخرق ICMR باستخدام بيانات قديمة أو مزيفة. تهدر هذه الضوضاء ما يصل إلى 25٪ من وقت فرق الأمن. يقدم التقرير إطارًا واضحًا للتحقق من شرعية الاختراق وتقليل إجهاد التنبيه والتركيز على التهديدات الإلكترونية الحقيقية ذات الأولوية العالية.
July 9, 2025
9
min
Table of Content
Example H2

فوضى صباح الاثنين: الفرز من خلال التنبيهات «العاجلة»

إنها التاسعة صباحًا يوم الاثنين. تضيء لوحة معلومات التهديدات الخاصة بك. العناوين الرئيسية تغمر خلاصتك: «تسرب 16 مليار دولار من بيانات الاعتماد يصدم الإنترنت!» هل هذا تهديد خطير أم مجرد ضوضاء؟ يواجه المتخصصون في مجال الأمن السيبراني والمديرون التنفيذيون والباحثون هذا السيل من التنبيهات «العاجلة» يوميًا، وغالبًا ما يطاردون المشتتات بدلاً من التهديدات الحقيقية. الضوضاء ليست فقط من المنتديات السرية، بل يمكن أن تنبع من الحملات التسويقية أو الباحثين الذين يبالغون في النتائج أو وسائل التواصل الاجتماعي التي تضخم الادعاءات التي لم يتم التحقق منها. يكشف هذا التقرير عن النظام البيئي الذي يغذي هذه الضوضاء ويقدم إطارًا لتحديد أولويات التهديدات الحقيقية.

ما هي «الضوضاء»؟
تشير الضوضاء في معلومات التهديدات إلى البيانات المبالغ فيها أو المضللة التي تم الإبلاغ عنها بشكل خاطئ على أنها انتهاكات جديدة. الأنواع الثلاثة الرئيسية هي:

  • الاختراقات المعاد تدويرها: تمت إعادة تجميع البيانات القديمة على أنها جديدة، غالبًا من حوادث عمرها سنوات.
  • البيانات العامة المسحوبة: تم جمع المعلومات العامة، مثل حادثة تجريف LinkedIn في يونيو 2021، على نطاق واسع، منتهكة شروط الخدمة ولكن ليس الأنظمة.
  • سجلات Infostealer المعاد تدويرها: مجموعات من بيانات الاعتماد المسروقة من الأجهزة المصابة بالبرامج الضارة، مثل تسريب بيانات الاعتماد «16 مليار دولار»، والتي غالبًا ما يتم الخلط بينها وبين خروقات الشركات.

ليست كل الانتهاكات المبلغ عنها عبارة عن ضوضاء، فبعضها حقيقي ويتطلب اتخاذ إجراءات عاجلة. يؤدي تمييز هذه العناصر إلى توفير الموارد والوقت لفرق الأمان.

النظام البيئي للمعلومات المضللة: أين تبدأ الضوضاء

غالبًا ما تنشأ الضوضاء في المنتديات السرية ولكن يتم تضخيمها من خلال وسائل الإعلام المثيرة أو التقارير القائمة على التسويق أو الباحثين الذين يبحثون عن الاهتمام. يعد فهم هذا النظام البيئي أمرًا أساسيًا لتصفية الإشارات من الضوضاء.

تأثير إزالة المنتدى
عندما تغلق سلطات إنفاذ القانون المنتديات السرية الرئيسية، مثل BreachForums في مايو 2024، يتشكل فراغ في السلطة. تتنافس المنتديات المتنافسة لجذب المستخدمين النازحين من خلال إصدار مجموعات بيانات «جديدة»، وغالبًا ما يتم تقديم الانتهاكات المعاد تدويرها مجانًا لتعزيز عمليات الاشتراك. هذا التدفق من البيانات القديمة يخلق ضجيجًا ينتشر خارج المنتديات. في يونيو 2025، اعتقلت السلطات الفرنسية خمسة مشغلين رئيسيين لـ BreachForums، بما في ذلك «ShinyHunters» و «IntelBroker»، في غارات منسقة عبر باريس ونورماندي وريونيون. وأدت هذه الاعتقالات، التي تستهدف المسؤولين المرتبطين بتسريب البيانات البارزة، إلى مزيد من تعطيل عمليات المنتدى، مما أدى إلى تكثيف التدافع بين المنصات المتنافسة لملء الفراغ.

مصداقية المصدر والمعلومات المضللة
تعمل الجهات الفاعلة في مجال التهديد على بناء المصداقية من خلال تنظيم مجموعات البيانات، ولكن لا يمكن الاعتماد على جميع المصادر. على سبيل المثال، يُعرف منتدى الويب المظلم الصيني Chang'an بإعادة تدوير البيانات القديمة وتلفيق الاختراقات بأسماء مؤسسات عشوائية، مما يخلق نوعًا فريدًا من الضوضاء. تؤدي العناوين المثيرة أو تسويق البائعين أو الباحثين الذين يبالغون في النتائج (على سبيل المثال، الادعاء بـ «خرق 184 مليون اعتماد») إلى تضخيم هذه الضوضاء، وغالبًا ما تفتقر إلى السياق وتثير الذعر. يجب أن يكون تقييم مصداقية وموثوقية المصدر سواء كان المنتدى أو الباحث أو وسيلة الإعلام هو السؤال الأول الذي يُطرح لتصفية الضوضاء.

فك تشفير الإنذارات الكاذبة: ستة أمثلة من العالم الحقيقي

الحالة 1: تسريب «16 مليار اعتماد»
  • العنوان الأولي (يونيو 2025): «أكبر تسرب لبيانات الاعتماد في التاريخ»
لقطة شاشة لبعض عناوين الأخبار
  • الواقع: إن تسرب بيانات الاعتماد البالغ 16 مليار دولار، والذي تم الإبلاغ عنه على نطاق واسع في يونيو 2025، ليس خرقًا جديدًا ولكنه عملية دمج تجمع سجلات السارق القديمة وانتهاكات قاعدة البيانات، كما لاحظت BleepingComputer. يشير التحليل، بما في ذلك من Hudson Rock، إلى أن مجموعة البيانات تحتوي على إدخالات تم التلاعب بها أو ملفقة، مع عدم وجود دليل يدعم الادعاءات بوجود 320 مليون جهاز مخترق مطلوب لجمع 16 مليار اعتماد. من المحتمل أن يتضمن الحجم الهائل نسخًا مكررة كبيرة، كما هو شائع في مثل هذه المجموعات، مع إقرار Cybernews بأن السجلات المتداخلة عبر مجموعات البيانات الثلاثين تجعل من المستحيل تحديد العدد الدقيق للحسابات الفريدة المتأثرة. تكهن Bleeping Computer بالطبيعة المعاد تدويرها دون تأكيد نهائي، مما يعكس عدم اليقين المستمر في تحديد النطاق الكامل لمجموعة البيانات وأصلها.
لقطة شاشة للأخبار التي نشرتها bleeping كمبيوتر دحض الادعاءات الكاذبة
  • إنتل إنسايت: يتطلب المجمولون الذين تم المبالغة فيهم التحقق الدقيق من الصحة. قد تكون بعض أوراق الاعتماد صالحة، لكن التهديد ينبع من العدوى الفردية، وليس من حل وسط مؤسسي. حدد أولويات عمليات التحقق من إعادة استخدام كلمة المرور على عزل الشبكة.
مثال على كيفية استغلال الجهات الفاعلة في مجال التهديد الفرصة لتلفيق الانتهاكات وجذب الانتباه. المصدر: Xvigil

الحالة 2: LinkedIn - «تسرب 700 مليون مستخدم» الذي لن يموت

  • العنوان الأولي (2021): «تم اختراق LinkedIn - تم الكشف عن 700 مليون مستخدم»
  • الواقع: لا يوجد اختراق. قام المهاجمون بمسح بيانات الملف الشخصي العام باستخدام LinkedIn API وبرامج زحف الويب. تضمنت البيانات الأسماء والمسمى الوظيفي ورسائل البريد الإلكتروني وأرقام الهواتف (في الأماكن العامة) وما إلى ذلك.
لقطة شاشة لـ أبلغ عن تحليل خرق بيانات لينكد إن لعام 2021

  • إعادة الظهور (2024-25): تمت إعادة نشر نفس البيانات المسروقة على المنتديات السرية وقنوات تيليجرام، مع ادعاءات جديدة بحدوث «خرق جديد». رددت وسائل الإعلام والبائعون هذا الادعاء دون التحقق من نضارة المصدر.
لقطة شاشة لمنتدى سري يعيد نشر البيانات القديمة للدعاية في 14 يونيو 2025

  • إنتل إنسايت: عالج المكبات التي عادت إلى السطح بالتدقيق. غالبًا ما تتم إعادة تسمية البيانات المعاد تدويرها لتبدو جديدة. قم ببناء أدوات داخلية لتتناسب مع التسريبات المعروفة وتجنب إجهاد التنبيه.

الحالة 3: تويتر - «تسرب 400M» الذي رفضته X

  • العنوان الأولي (ديسمبر 2022): «اختراق تويتر - 400 مليون بيانات مستخدم للبيع»
  • الواقع: لم يكن «تسرب 400 مليون بيانات على تويتر» الذي تم الإبلاغ عنه خرقًا لأنظمة تويتر الداخلية، ولكنه مجموعة بيانات تم تجميعها من خلال ثغرة أمنية في واجهة برمجة التطبيقات (API)، نشطة من يونيو 2021 إلى يناير 2022، والتي سمحت للمهاجمين بمطابقة أرقام الهواتف وعناوين البريد الإلكتروني مع معرفات مستخدمي تويتر. تم استغلال الثغرة الأمنية من قبل العديد من الجهات الفاعلة في مجال التهديد، بما في ذلك المخترق المسمى «Ryushi»، الذي عرض مجموعة البيانات بمبلغ 200,000 دولار في منتدى الجرائم الإلكترونية. تحتوي مجموعة البيانات على بيانات الملف الشخصي العام مثل أسماء المستخدمين وعدد المتابعين وعناوين البريد الإلكتروني وأرقام الهواتف ولكن لا توجد بيانات حساسة مثل كلمات المرور. بعد محاولة البيع الأولية، تم إصدار البيانات مجانًا على BreachForums في يناير 2023، مما زاد من مخاطر التصيد الاحتيالي والخداع والهندسة الاجتماعية، خاصة للمستخدمين الذين يحملون أسماء مستعارة.
لقطة شاشة لـ أبلغ عن تحليل خرق بيانات تويتر
  • التداعيات (2023—2024): عادت مجموعة البيانات إلى الظهور عدة مرات بمطالبات مبالغ فيها (حتى «1.4 مليار مستخدم» في بعض عمليات التفريغ المزيفة). قامت العديد من الجهات الفاعلة في مجال التهديد بإعادة تجميع نفس البيانات بعلامات جديدة.
لقطة شاشة لمنشور بتاريخ 7 يناير 2025 من خرق تم إغلاقه الآن - المنتديات التي تدعي أنها تقدم بيانات تويتر
  • إنتل إنسايت: تؤدي الخروقات المزيفة أو «المعاد تشغيلها» إلى تعكير الإشارة. يجب على فرق Intel أخذ بصمات الأصابع السابقة لعمليات التفريغ والتحقق من صحتها باستخدام HIBP أو قواعد بيانات التعرض الداخلي أو فحوصات OSINT.

الحالة 4: Free.fr - «تسرب بيانات العملاء بنسبة 19.2 مليون»

العنوان الأولي (أكتوبر 2024): «تم اختراق Free.fr - 19.2 مليون سجل عميل للبيع»
الواقع: أكد ISP Free.fr الفرنسي حدوث خرق يؤثر على 19.2 مليون حساب. عرض ممثل التهديد «drussellx» مجموعة بيانات بحجم 43.6 غيغابايت على BreachForums، بما في ذلك الأسماء والعناوين ورسائل البريد الإلكتروني وأرقام الهواتف و 5.11 مليون iBAN، تم تسريبها عبر ثغرة أمنية في أداة الإدارة في 17 أكتوبر 2024.لم يتم اختراق كلمات المرور أو تفاصيل البطاقة.

لقطة شاشة للمنشور الذي نشره ممثل التهديد في الوقت الحالي

التداعيات (2024—2025): كانت مجموعة البيانات، التي تم تسعيرها مبدئيًا بمبلغ 175,000 دولار، خدعة لابتزاز Free.fr، دون حدوث أي بيع. تمت إعادة نشره على منتديات الويب المظلمة وتليجرام مع إضافة ادعاءات مبالغ فيها بـ «20 مليون حساب» وبيانات اعتماد مزيفة لتعزيز القيمة. غذت البيانات المعاد تجميعها التصيد الاحتيالي والاحتيال، مما أدى إلى تآكل الثقة ودفع التدقيق في اللائحة العامة لحماية البيانات (GDPR) بشأن الإشعارات المتأخرة.

إنتل إنسايت: يمكن للجهات الفاعلة ذات المهارات المنخفضة استغلال نقاط الضعف البسيطة، وخلق ضوضاء عبر البيانات المعاد تجميعها. راقب منتديات الويب المظلمة باستخدام SocraDar، وتحقق من التسريبات باستخدام HIBP، ومجموعات بيانات بصمات الأصابع (على سبيل المثال، iBAN) لتحديد المنتجات المزيفة.

جهات تهديد متعددة تعيد نشر نفس خرق البيانات القديم، المصدر: Xvigil

الحالة 5: بولانجر - «تسرب سجلات العملاء بمقدار 27 مليونًا»

العنوان الأولي (سبتمبر 2024): «اختراق بولانجر - تم الكشف عن 27 مليون سجل»

الواقع: واجهت شركة Boulanger الفرنسية للبيع بالتجزئة هجومًا من برامج الفدية، حيث كشفت عن 27.5 مليون صف بيانات (مليون سجل فريد) مع رسائل البريد الإلكتروني والأسماء والعناوين وأرقام الهواتف وتحديد الموقع الجغرافي. باع ممثل التهديد «horrormar44" مجموعة بيانات JSON بسعة 16 جيجابايت مقابل 2000 يورو على BreachForums. لم يتم اختراق أي بيانات دفع.

التداعيات (2024—2025): بحلول أبريل 2025، تم تسريب مجموعة البيانات مجانًا على BreachForums، وانخفضت إلى 2 دولار في أرصدة المنتدى. ظهرت عمليات إعادة نشر تحتوي على تفاصيل دفع مزيفة ومطالبات بـ «30 مليون سجل»، مما أدى إلى تضخيم نطاق الاختراق. غذت هذه حملات التصيد الاحتيالي التي تتظاهر بأنها عروض ترويجية لشركة Boulanger، مما أدى إلى تضخيم الضوضاء ومخاطر الاحتيال.

جهات تهديد متعددة تعيد نشر نفس خرق البيانات القديم، المصدر: Xvigil

إنتل إنسايت: تُحدث تسريبات برامج الفدية ضجيجًا عند مشاركتها بحرية مع البيانات المبطنة. قم ببصمة البيانات الفريدة (مثل تحديد الموقع الجغرافي) واستخدم HIBP للتحقق من التسريبات. راقب منتديات الويب المظلمة لاكتشاف عمليات التفريغ المعاد تعبئتها.

القضية 6: ICMR - «تسرب 850 مليون سجل للمواطنين»

العنوان الأولي (أكتوبر 2023): «اختراق ICMR - تم الكشف عن 850 مليون بيانات مواطن هندي»الواقع: أكد المجلس الهندي للأبحاث الطبية (ICMR) حدوث خرق لـ 81.5 مليون سجل فريد عبر واجهة برمجة تطبيقات تم تكوينها بشكل خاطئ. عرض ممثل التهديد «pwn0001" مجموعة بيانات 90 جيجابايت على BreachForums مع الأسماء وأرقام Aadhaar والعناوين والبيانات الصحية.

لقطة شاشة للأخبار مقالة الإبلاغ عن خرق بيانات ICMR

التداعيات (2023—2025): تم بيع مجموعة البيانات في البداية مقابل 80 ألف دولار، وتمت مشاركتها لاحقًا مجانًا على منتديات الويب المظلمة و Telegram. ادعت الإصدارات المعاد تجميعها بتفاصيل مصرفية مزيفة وجود «مليار سجل»، مما أدى إلى تضخيم نطاق الاختراق. أدى ذلك إلى تأجيج الاحتيال والاحتيال على القروض، مما أدى إلى رفع دعاوى قضائية بموجب قانون DPDPA الهندي.

جهات تهديد متعددة تعيد نشر نفس خرق بيانات ICMR القديم، المصدر: Xvigil

إنتل إنسايت: تؤدي واجهات برمجة التطبيقات غير الآمنة إلى حدوث خروقات كبيرة، يتم تضخيمها من خلال البيانات المعاد تجميعها. استخدم HIBP وبصمات الأصابع (على سبيل المثال، أرقام Aadhaar) للتحقق من التسريبات. راقب منتديات الويب المظلمة لتتبع حملات الاحتيال.

التكاليف المخفية: كيف تضر الضوضاء بفرق الأمن

الوقت الضائع والموارد
يؤدي البحث عن الإيجابيات الكاذبة إلى استنزاف كبير للموارد، مما يستهلك ما يصل إلى 25٪ من وقت فريق الأمان. بالنسبة إلى SOC متوسط الحجم، يعني هذا فقدان 100 ساعة أسبوعيًا للتحقيق في عدم التهديدات بدلاً من التركيز على المخاطر النشطة مثل برامج الفدية أو الهجمات الداخلية.

فقدان الثقة
تؤدي الإنذارات الكاذبة المتكررة إلى تآكل ثقة القيادة، مما يجعلها تشكك في الحوادث الحقيقية. يمكن أن يؤدي ذلك إلى تأخير الاستجابات الحرجة للتهديدات الحقيقية.

أولويات مضللة
تؤدي «الانتهاكات» المفرطة، التي يتم تضخيمها من خلال العناوين المثيرة أو تقارير الموردين التي تفتقر إلى السياق، إلى تحويل الانتباه عن التهديدات الأقل إثارة ولكنها أكثر ضررًا مثل تسوية البريد الإلكتروني للأعمال (BEC) أو الهندسة الاجتماعية أو المخاطر الداخلية، والتي غالبًا ما تسبب ضررًا أكبر.

إطار الإشارة إلى الضوضاء: دليل عملي

«هل هي حقيقية؟» قائمة مرجعية
لاكتشاف الاختراقات الصاخبة، اسأل:

  • هل المصدر منتدى أو باحث أو وسيلة إعلامية غير مثبتة تسعى إلى الاهتمام؟
  • هل البيانات مجانية أم رخيصة (علامة على البيانات القديمة)؟
  • هل تعرض العينات الطوابع الزمنية القديمة؟
  • هل تنفي الشركة أي تدخل؟
  • هل البيانات عبارة عن مجموعة بيانات اعتماد عشوائية (combolist) أم قاعدة بيانات نظيفة؟
  • هل يتوافق التوقيت مع إزالة المنتدى أو الحملة التسويقية؟

دليل التحقق لفرق Intel

  1. فحص المصدر: تقييم سمعة الملصق ودوافعه، سواء كان مستخدمًا للمنتدى أو باحثًا أو وسيلة إعلامية. هل هو مصدر موثوق أم مصدر مثل Chang'an معروف بالانتهاكات الملفقة؟
  2. تحليل العينة: تحقق من عمر البيانات وتنسيقها وعلاماتها.
  3. إلغاء التكرار ووضع السياق: يجب إلغاء تكرار البيانات التي تمت إعادة ظهورها والتحقق منها ووضعها في سياقها مقابل مجموعات بيانات الخرق التاريخية لتجنب الاستجابات الزائدة عن الحاجة.
  4. مرجع تبادلي: تحقق من صحة استخدام مصادر موثوقة مثل Have I Been Pwned (HIBP) أو قواعد بيانات التعرض الداخلي أو فحوصات OSINT.
  5. تواصل مع نوانس: قم بالإبلاغ بدرجات الثقة، على سبيل المثال، «هذا يشبه الاختراق المعاد تدويره؛ مخاطر التسوية النشطة منخفضة».

منصة مراقبة التهديدات الخارجية الخاصة بنا، زيفيجيل، تقوم المراجع التبادلية بخرق الدعاوى ضد نقاط البيانات التاريخية، مما يقلل من الإيجابيات الكاذبة. هذا يزيد من التركيز على التهديدات ذات الأولوية العالية.

الخلاصة: من الفوضى إلى الوضوح

يواجه عالم الأمن السيبراني مشكلة السياق، وليس مجرد مشكلة خرق البيانات. الضوضاء الصادرة عن المنتديات السرية، أو ادعاءات الباحثين المبالغ فيها، أو التقارير الإعلامية المثيرة - مثل تلك الصادرة عن منتديات مثل Chang'an - تغذي الذعر وتهدر الموارد. من خلال التدقيق في مصداقية المصدر وإزالة البيانات المكررة واستخدام أنظمة تصفية قوية، يمكن لفرق الأمان التركيز على التهديدات الحقيقية. بالنسبة للرؤساء التنفيذيين، يضمن هذا تخصيص الموارد للأولويات الاستراتيجية، وليس الإنذارات الكاذبة. يمكن أن تؤدي الاتجاهات الناشئة، مثل بيانات الاختراق المزيفة الناتجة عن الذكاء الاصطناعي، إلى تضخيم الضوضاء، مما يجعل هذه الأنظمة أكثر أهمية. يمكن للصحفيين المساعدة من خلال التحقق من الادعاءات بالمصادر الأولية، والحد من الذعر العام.

ماذا يعني هذا بالنسبة لك

  • فرق الأمان: استخدم قائمة التحقق ودليل التشغيل لتحديد أولويات التهديدات الحقيقية.
  • المدراء التنفيذيون: اطلب السياق قبل العمل على تنبيهات الاختراق لتحسين الموارد.
  • صحفيون وباحثون: تحقق من المصادر لتجنب تضخيم الضوضاء.

مسرد المصطلحات

  • كومبوليستس: بيانات الاعتماد المسروقة من الأجهزة المصابة بالبرامج الضارة، والتي غالبًا ما يتم الإبلاغ عنها بشكل خاطئ على أنها انتهاكات للشركات.
  • كشط: جمع بيانات الموقع العامة، والتي تم تشويهها على أنها خرق.
  • دراما المنتدى: التنافس بين مستخدمي المنتدى، مما يؤدي إلى تسرب البيانات الانتقامي.
  • مصداقية المصدر: موثوقية المنتدى أو الباحث أو المنفذ الإعلامي، وهو أمر بالغ الأهمية لتقييم شرعية الخرق.

المراجع

أبهيشيك ماثيو
باحث في مجال التهديدات الإلكترونية في إنتل، أتفوق في OSINT و HUMINT والهندسة الاجتماعية

باحث في مجال التهديدات الإلكترونية في إنتل، أتفوق في OSINT و HUMINT والهندسة الاجتماعية

Related Blogs

تسريبات البيانات
February 16, 2024
8
min
دراسة حالة: تسرب بيانات اعتماد مزود نظام إدارة الموارد البشرية يفضح بيانات موظفي البنك ويمكّن من الاستحواذ على الحساب
Read more
خرق
December 6, 2022
6
min
[Updated] Cyber Security Incident at CloudSEK
Read more