01 التحدّي
كان فريق مكافحة الاحتيال في البنك يكتشف نطاقات تصيّد جديدة يوميًا — نطاقات مشابهة وأخرى تعتمد على تشابه الأحرف مع بوابة الدخول الرسمية، يجمع كلٌّ منها بيانات الدخول وكلمات المرور لمرة واحدة. كانت آلية الإبلاغ القائمة تستغرق من خمسة إلى سبعة أيام لكل نطاق، وهي مدة كان المهاجمون خلالها قد انتقلوا بالفعل إلى النطاق التالي. تجاوز حجم الهجمات قدرة الفريق، وتوالت شكاوى العملاء أسرع من وتيرة الإزالة.
02 المنهجية
استهداف الأداة لا الأعراض
بدلًا من معاملة كل نطاق كبلاغ منفصل، حدّدنا بصمة أداة التصيّد المشتركة — تجزئة الأيقونة المشتركة، وجهة إصدار شهادة TLS، ونطاق الاستضافة — لحصر المجموعة كاملةً، بما في ذلك النطاقات الخاملة التي لم تُستخدَم بعد.
تقديم بلاغ موثّق من المرة الأولى
تضمّن كل بلاغ أدلة مُجمَّعة: لقطات شاشة، ونقطة جمع بيانات الدخول، وسجلات WHOIS وDNS. فالبلاغات الكاملة تُعالَج أسرع وتُرفَض أقل.
تصعيد الحالات المتعثّرة تلقائيًا
عندما تتأخّر جهة التسجيل أو الاستضافة عن زمن استجابتها المعتاد، تُصعَّد الحالة إلى المزوّد الأعلى، وعند الاقتضاء إلى فريق الاستجابة للطوارئ المعني — دون انتظار تدخّل بشري.
03 النتيجة
خلال الأسبوع الأول، تمّت إزالة 41 نطاقًا نشطًا ومُجهّزًا. انخفض وسيط زمن الإزالة من نحو ستة أيام إلى 31 ساعة. ولأن الإزالة استهدفت جهات تسجيل النطاقات ومزوّدي الاستضافة وليس الروابط فقط، بقيت 96% من المجموعة مُزالة بعد 30 يومًا، وتراجعت بشكل حاد وتيرة معاودة المهاجم للظهور.
«انتقلنا من مطاردة النطاقات واحدًا تلو الآخر إلى مشاهدة المجموعة كاملةً تُزال خلال أسبوع. وحدها جودة البلاغات وفّرت على فريقنا أيامًا من العمل.»
الخدمة المستخدمة
إزالة مواقع التصيّد