غيوم الخداع: كيف يختطف مجرمو الإنترنت ثقة Google لتنفيذ هجمات تصيّد متطورة

تخيّل أن تنقر رابطًا في صندوق بريدك، مطمئنًا بسبب نطاق “googleapis.com” المألوف، لتجد نفسك عالقًا في فخ نصبه مجرمو الإنترنت. هذه هي الحقيقة لآلاف الأشخاص الذين وقعوا في حملة تصيّد ماكرة تستغل مصداقية البنية السحابية الخاصة بـ Google نفسها. لقد حوّل المهاجمون أكثر علامة تقنية موثوقًا بها في العالم إلى شريك غير واعٍ، ما جعل عمليات إعادة التوجيه الخبيثة شبه غير مرئية حتى للمستخدمين اليقظين وأنظمة الأمن الصلبة.

تشريح هجوم تصيّد عبر منصة موثوقة

في قلب هذه الحملة حيلة تقنية ذكية: ينشئ المهاجمون “حاوية” مخصصة في Google Cloud Storage باسم whilewait، ويضعون داخلها ملف HTML خبيثًا (comessuccess.html). عندما ينقر الضحايا الرابط المضمّن في رسالة تصيّد، يُنقلون إلى صفحة مستضافة على storage.googleapis.com - وهو نطاق موثوق إلى حد أن معظم مرشحات البريد تمرّره دون نظرة ثانية. لكن هذه الصفحة ليست ملاذًا آمنًا؛ إذ تعيد توجيه المستخدمين بصمت إلى مواقع خارجية مصممة لسرقة تفاصيل بطاقات الائتمان أو تثبيت برمجيات خبيثة.

استخدام بنية Google التحتية ليس مصادفة. يدرك مجرمو الإنترنت أن نطاقات مثل googleapis.com مُدرجة في القوائم البيضاء لدى كثير من المؤسسات، ما يجعل من السهل تجاوز الدفاعات التقليدية مثل SPF وDKIM وفحوصات سمعة النطاق الأساسية. هذه التقنية المعروفة بـ“التصيّد عبر منصة موثوقة” تزداد انتشارًا بسرعة بين الجهات المهدِّدة الساعية إلى تعظيم نطاقها وتقليل فرص اكتشافها.

الهندسة الاجتماعية على أرض الواقع

أما الرسائل نفسها فهي دروس متقنة في التلاعب النفسي. فبعضها يدّعي أن “سعة التخزين السحابي ممتلئة” أو يحذّر من تنبيه “انتهت صلاحية حماية مضاد الفيروسات”، مستغلًا الخوف والإلحاح. وأخرى تلوّح بمكافآت من علامات تجارية معروفة أو تقدم نصائح صحية، مستثيرة الفضول والرغبة. وفي جميع الحالات، الهدف واحد: دفعك للنقر على الرابط وإدخال معلومات حساسة على موقع احتيالي.

وقد ربط باحثو الأمن هذه الأساليب بنماذج تهديد معروفة، بما في ذلك مرفقات وروابط التصيّد الموجّه، وكذلك إساءة استخدام الخدمات البعيدة لسلاسل إعادة التوجيه. ويجعل تنوع الحملة من الصعب حصرها، إذ تم تحديد أكثر من 25 طُعمًا مختلفًا في رسائل البريد الإلكتروني.

حماية نفسك والإنترنت

فماذا يمكنك أن تفعل؟ يوصي الخبراء بتبنّي قدر صحي من الشك تجاه أي رسالة بريد تحثك على النقر على رابط - حتى لو بدا أنها صادرة من Google. انتبه جيدًا لعناوين المرسلين، وابحث عن سلاسل غريبة من الأحرف، ودقّق في عناوين URL التي تبدأ بـ storage.googleapis.com. وإذا صادفت محتوى مشبوهًا مستضافًا على السحابة، فأبلغ فريق إساءة الاستخدام لدى Google للمساعدة في تفكيك هذه البنى التحتية الإجرامية.

تُعد هذه الحملة الأخيرة تذكيرًا صارخًا: حتى أكثر التقنيات موثوقية يمكن ليّها لخدمة أهداف خبيثة. وفي لعبة القط والفأر المتغيرة باستمرار في عالم الجريمة الإلكترونية، تظل اليقظة والتثقيف أقوى وسائل دفاعنا.

WIKICROOK

• Google Cloud Storage (GCS): Google Cloud Storage هي خدمة تخزين ملفات عبر الإنترنت من Google آمنة وقابلة للتوسع، تُستخدم لاستضافة البيانات والنسخ الاحتياطية ومحتوى الويب.
• التصيّد (Phishing): التصيّد هو جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
• إعادة التوجيه (Redirect): إعادة التوجيه تنقل الزوار تلقائيًا من عنوان ويب إلى آخر، وغالبًا ما تُستخدم عند انتقال المواقع أو تغييرها أو إخراجها من الخدمة.
• SPF (Sender Policy Framework): طريقة لمصادقة البريد الإلكتروني تتحقق مما إذا كان خادم البريد مخولًا بإرسال رسائل نيابة عن نطاق محدد.
• DKIM (DomainKeys Identified Mail): DKIM نظام أمان للبريد الإلكتروني يستخدم التواقيع الرقمية لإثبات أن الرسائل أصلية ولم يتم العبث بها، ما يساعد على منع الانتحال.