تصيد إلكتروني خبيث يستغل ثقة المستخدمين في خدمات قوقل

حذر خبراء الأمن السيبراني من حملة تصيد إلكتروني متقدمة، اعتمد فيها القراصنة على استغلال خدمات قوقل الرسمية والموثوقة لخداع المستخدمين والشركات، في واحدة من أكثر الهجمات إقناعاً وتعقيداً خلال الفترة الأخيرة.

حملة احتيال جديدة تستخدم بنية قوقل التحتية لخداع الشركات والمستخدمين

وبحسب ما ذكرته تقارير تقنية، فإن هذه الحملة لم تعتمد على اختراق تقني مباشر، بل على استغلال الثقة الكبيرة التي تحظى بها العلامات التجارية العالمية، وفي مقدمتها قوقل.

حيث قام المهاجمون بإرسال ما يقارب 9400 رسالة بريد إلكتروني خلال فترة لا تتجاوز أسبوعين، مستهدفين أكثر من 3200 شركة حول العالم.

وتركزت النسبة الأكبر من الأهداف في الولايات المتحدة الأمريكية، مع اهتمام خاص بقطاعات حساسة، مثل التصنيع، والتكنولوجيا، والخدمات المالية، وهي قطاعات تعتمد بشكل كبير على البريد الإلكتروني والتكاملات السحابية في أعمالها اليومية.

وقالت التقارير إن ما جعل هذه الحملة شديدة الخطورة، هو أن الرسائل الاحتيالية أُرسلت من عنوان بريد إلكتروني يبدو شرعياً بالكامل، ويتبع فعلياً لقوقل، وهو: noreply-application-integration@google.com، لافتة إلى أن هذا العامل منح الرسائل مصداقية عالية، وساعدها على تجاوز العديد من أنظمة الحماية التقليدية.

وأوضح الخبراء أن القراصنة استغلوا خدمة Google Cloud Application Integration، وهي أداة رسمية تتيح ربط التطبيقات والخدمات السحابية وأتمتة سير العمل، دون الحاجة إلى كتابة شيفرات برمجية.

ونظراً لأن الرسائل الصادرة عبر هذه الخدمة تنطلق من البنية التحتية لقوقل نفسها، فقد بدت وكأنها رسائل شرعية تماماً، ما جعل الأمر صعباً على أنظمة الأمن لاكتشافها مبكراً.

وأشارت التقارير إلى أن ما جرى لا يعد اختراقاً لبنية قوقل أو أنظمتها، بل هو إساءة استخدام لمشروع أو إعداد سحابي أنشأه أو سيطر عليه المهاجمون.

ولتعزيز فرص النجاح، فقد صممت الرسائل بأسلوب يحاكي لغة وتصميم رسائل قوقل الأصلية، وتضمنت إشعارات مضللة، مثل وجود رسالة صوتية غير مستلمة، أو مستند يحتاج إلى مراجعة عاجلة.

وعند تفاعل الضحية مع الرابط، تبدأ سلسلة من عمليات إعادة التوجيه الذكية، حيث ينقل المستخدم أولاً إلى نطاق تابع لقوقل، ثم إلى نطاق آخر موثوق ظاهرياً، قبل أن يظهر اختبار CAPTCHA مزيف، والذي صمم خصيصاً لتجاوز أدوات الفحص الأمني الآلية.

وفي المرحلة الأخيرة، يتم تحويل المستخدم إلى صفحة تسجيل دخول مزيفة لمايكروسوفت، حيث تسرق بيانات الدخول فور إدخالها.

ونوه الخبراء إلى أن البيانات أظهرت أن 48.6% من الضحايا كانوا في الولايات المتحدة الأمريكية، تلتها منطقة آسيا والمحيط الهادئ بنسبة 20.7%، ثم أوروبا بنسبة 19.8%.

وعلى صعيد القطاعات، فقد تصدرت الصناعة والتصنيع بنسبة 19.6%، ثم التكنولوجيا والبرمجيات بنسبة18.9%، والقطاع المالي والمصرفي بنسبة 14.8%.

ومن جهتها، فقد أكدت شركة قوقل أنها أوقفت عدة حملات تصيد استغلت خدمة Application Integration، مشددة على أن هذه الأنشطة ناتجة عن إساءة استخدام أدوات الأتمتة، وليس عن اختراق مباشر لأنظمتها.

كما أعلنت اتخاذ إجراءات إضافية للحد من هذا النوع من الاستغلال، داعية المستخدمين والشركات إلى تعزيز الوعي الأمني، وعدم الاعتماد الكامل على مظهر الرسائل أو مصدرها الظاهري.