كشف تقرير عن حملة تصيّد إلكتروني جديدة ومتقدمة تستغل خدمات غوغل الموثوقة لإقناع الضحايا بأنها رسائل رسمية وآمنة.
وتُعد هذه الحملة مثالًا جديدًا على الأساليب المتطورة التي يستخدمها مجرمو الإنترنت للتحايل على المستخدمين، وأنظمة الحماية.
كيف تعمل الحملة؟
اعتمد المهاجمون على خدمة Google Cloud Application Integration، وهي أداة شرعية تُستخدم لأتمتة العمليات بين تطبيقات وخدمات سحابية مختلفة.
من خلال إساءة استخدام هذه الخدمة، تمكن القراصنة من إرسال آلاف الرسائل الإلكترونية التي بدت وكأنها صادرة مباشرة من غوغل، وهو ما منحها مصداقية عالية، وساعدها على تجاوز فلاتر البريد المزعج التقليدية.
مسار الهجوم
تبدأ العملية برسالة بريد إلكتروني تزعم وجود إشعار أمني أو مشكلة في الحساب. وعند النقر على الرابط، يتم توجيه الضحية أولًا إلى خدمة استضافة تابعة فعليًا لغوغل، ما يعزز الثقة.
بعد ذلك، يمر المستخدم بعدة عمليات إعادة توجيه، تتضمن صفحة CAPTCHA مزيفة، قبل أن يصل في النهاية إلى صفحة تسجيل دخول وهمية تحاكي موقع مايكروسوفت.
والهدف النهائي من هذه العملية هو سرقة بيانات تسجيل الدخول، خاصة لحسابات البريد الإلكتروني، والخدمات السحابية الخاصة بالشركات.
من هم المستهدفون؟
بحسب التقرير، استهدفت الحملة، بشكل رئيس، الشركات والمؤسسات، لا سيما في قطاعات التصنيع، والتكنولوجيا، والخدمات المالية. وخلال فترة قصيرة، تم إرسال ما يقرب من 10 آلاف رسالة تصيّد إلى أكثر من 3000 مؤسسة.
من جهتها، أكدت "غوغل" أن أنظمتها لم تتعرض للاختراق، وأن ما حدث هو إساءة استخدام لخدماتها الشرعية. وأضافت الشركة أنها قامت باتخاذ إجراءات للحد من هذه الأنشطة، وتعمل باستمرار على تحسين أنظمة الكشف والحماية.
حملة خطيرة
تكمن خطورة هذه الحملة في أنها تعتمد على بنية تحتية موثوقة بالكامل، ما يجعل اكتشافها أكثر صعوبة. كما أنها تسلط الضوء على اتجاه متزايد في عالم الجرائم الإلكترونية، حيث يتم استغلال الخدمات الشرعية لتنفيذ هجمات تصيّد عالية الدقة.
وينصح الخبراء المستخدمين بعدم إدخال بياناتهم عبر روابط البريد الإلكتروني، والتحقق دائمًا من مصدر الرسائل، وتفعيل المصادقة الثنائية، حتى وإن بدت صادرة من جهات موثوقة.
