التصيد على مرأى من الجميع: كيف تختطف GTFire خدمات Google لاختراق الدفاعات العالمية

تخيل هذا: تنقر رابطًا من علامة تجارية مألوفة، ويعرض شريط العنوان رابط Google يبدو حقيقيًا، ثم يُطلب منك تسجيل الدخول. يبدو الأمر آمنًا - إلى أن تُسحب بيانات اعتمادك بواسطة عصابة جرائم إلكترونية تختبئ على مرأى من الجميع. هذه هي حقيقة حملة GTFire، وهي عملية تصيد مترامية الأطراف تستغل خدمات Google نفسها لخداع المستخدمين وفرق الأمن عبر العالم.

حقائق سريعة

• تستخدم GTFire خدمة Google Firebase Hosting وGoogle Translate لإخفاء مواقع التصيد وتفادي الاكتشاف.
• تم استهداف أكثر من 1,000 منظمة في أكثر من 100 دولة، عبر أكثر من 200 قطاع.
• تُعد المكسيك والولايات المتحدة وإسبانيا والهند والأرجنتين من بين الدول الأكثر تضررًا.
• يُدوّر المهاجمون مئات النطاقات باستخدام بنية Google التحتية المجانية، ما يعقّد جهود الإزالة.
• تجمع صفحات التصيد بيانات الاعتماد مرتين قبل إعادة توجيه المستخدمين إلى مواقع العلامات التجارية الحقيقية، لتقليل الشكوك.

تشريح هجوم يعتمد على خدمات موثوقة

تمثل GTFire سلالة جديدة من عمليات التصيد: فبدلًا من الاعتماد على مستضيفين مشبوهين أو عناوين URL مليئة بالأخطاء الإملائية، يستغل هؤلاء المهاجمون أدوات Google نفسها - وتحديدًا Firebase Hosting وGoogle Translate - لإخفاء نواياهم الخبيثة. ومن خلال إنشاء صفحات تسجيل دخول مزيفة على نطاقات .web.app مولدة عشوائيًا ولفّها داخل روابط translate.goog، تستغل GTFire الثقة التي يضعها المستخدمون وحلول الأمن في علامة Google.

يتلقى الضحايا رسائل بريد إلكتروني أو رسائل تتضمن روابط “موقع” عبر Google Translate، تقوم بتمرير صفحة التصيد الأساسية بسلاسة. لا تُخفي هذه الحيلة الوجهة الخبيثة الحقيقية فحسب، بل تساعد الروابط أيضًا على تجاوز مرشحات أمن البريد والويب التي عادةً ما تضع علامة على النطاقات المشبوهة. وبحلول الوقت الذي يصل فيه المستخدم إلى بوابة تسجيل الدخول المزيفة - وغالبًا ما تكون مصممة لتقليد علامات تجارية مألوفة - يكون شعوره بالأمان قد تم تعطيله بالفعل.

ولا يتوقف التعقيد التقني عند هذا الحد. إذ تُحشى عناوين URL ببيانات مُرمّزة بـBase64، بما في ذلك عنوان بريد الضحية ومعرّفات العلامة التجارية، ما يجعل التحليل الساكن والاكتشاف الآلي أمرًا صعبًا. وبمجرد الوصول إلى صفحة التصيد، يُطلب من المستخدمين إدخال بيانات اعتمادهم - مرتين. وتُعرض رسالة مزيفة تفيد بـ“كلمة مرور غير صحيحة” بين المحاولتين، مع التقاط الإدخالين بصمت. ثم، في خدعة أخيرة، يُعاد توجيه الضحية إلى الموقع الشرعي دون أن يدرك شيئًا.

خلف الكواليس، تُمرَّر بيانات الاعتماد المسروقة عبر طلبات HTTP بسيطة إلى خوادم قيادة وتحكم تشغّل نصوص تصيد PHP من نوع “All-in-1”. وتنظم هذه الخوادم الغنائم حسب التاريخ واللغة والخدمة المستهدفة، ما يسهّل إعادة البيع والهجمات اللاحقة. ويكشف التحليل عن أكثر من 120 نطاق تصيد فريدًا ومجموعة ضحايا تمتد عبر التصنيع والتعليم والحكومة وغيرها - مما يبرهن على حجم نهج GTFire وانتهازيته.

بالنسبة للمدافعين، التحدي كبير. فمع استغلال المهاجمين لمنصات موثوقة وتدويرهم المستمر للنطاقات، تقصر أساليب الحظر التقليدية والكشف المعتمد على التواقيع. ويوصي الخبراء بمراقبة الأنماط المشبوهة في النطاقات الفرعية لـFirebase، وعمليات إعادة التوجيه عبر Google Translate، وعناوين URL الثقيلة بترميز Base64، إلى جانب تثقيف قوي للمستخدمين ومراقبة العلامات التجارية.

الخلاصة: عندما تصبح الثقة سلاحًا

تُعد حملة GTFire تذكيرًا صارخًا بأن حتى أكثر المنصات سمعةً يمكن تسليحها من قبل خصوم مصممين. ومع ازدياد جرأة مجرمي الإنترنت وإبداعهم، يجب على المؤسسات والأفراد على حد سواء البقاء يقظين - ليس فقط ضد التهديدات الواضحة، بل ضد تلك التي تختبئ خلف الشعارات التي نثق بها أكثر من غيرها.

WIKICROOK

• التصيد: التصيد هو جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
• Firebase Hosting: Firebase Hosting هي خدمة من Google لاستضافة محتوى الويب بأمان على خوادم سريعة موزعة عالميًا، باستخدام نطاقات .web.app الافتراضية أو نطاقات مخصصة.
• ترميز Base64: يحوّل ترميز Base64 البيانات إلى سلسلة نصية قابلة للقراءة، ما يسهل تضمين الملفات والشفرة أو نقلها ضمن أنظمة تعتمد على النص.
• أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
• Punycode: يقوم Punycode بترميز أحرف Unicode لأسماء النطاقات، ما يتيح النطاقات الدولية (IDNs) لكنه قد يُساء استخدامه لإخفاء نطاقات خبيثة في هجمات التصيد.