غيوم الخداع: المحتالون يحوّلون بنية Google التحتية إلى سلاح

العنوان الفرعي: يستغل مجرمو الإنترنت Google Cloud Storage لتجاوز وسائل الحماية وحصد بيانات الدفع ضمن حملة تصيّد جديدة ماكرة.

عندما يتعلق الأمر بعمليات الاحتيال عبر الإنترنت، تبقى الثقة أمضى سلاح ذي حدّين. ففي حملة جديدة جريئة، يستولي مجرمو الإنترنت على مصداقية البنية التحتية السحابية الخاصة بـGoogle نفسها - محوّلين ركيزة من ركائز الإنترنت إلى منصة إطلاق لهجمات تصيّد لا يتوقعها إلا القليل من الضحايا.

حقائق سريعة

يستخدم المهاجمون Google Cloud Storage (GCS) لاستضافة عمليات إعادة توجيه خبيثة، مستفيدين من نطاق googleapis.com الموثوق.
تم الكشف عن أكثر من 25 رسالة تصيّد فريدة، تستهدف كل واحدة مستخدمًا مختلفًا بطُعم مُفصّل.
تستغل الموضوعات الشائعة الإلحاح ومخاوف الأمان والعروض الترويجية الزائفة لدفع المستخدمين إلى النقر.
يُعاد توجيه الضحايا من نطاق Google إلى مواقع احتيالية تحصد بيانات بطاقات الائتمان أو تنشر برمجيات خبيثة.
غالبًا ما يتم تجاوز مرشحات أمان البريد الإلكتروني التقليدية بسبب السمعة الموثوقة لـGoogle.

تشريح عملية احتيال على منصة موثوقة

كشف باحثون في الأمن مؤخرًا موجة تصيّد متقدمة تستغل Google Cloud Storage (GCS) كمضيف غير مقصود لمُعيدات التوجيه الخبيثة. أنشأ المهاجمون حاوية GCS باسم “whilewait”، ورفعوا ملف HTML يبدو بريئًا - comessuccess.html. وعلى السطح، تبدو الروابط المؤدية إلى هذا الملف شرعية تمامًا، لأنها تقع ضمن نطاق googleapis.com واسع الثقة.

هذه الخدعة التقنية هي ما يجعل الحملة شديدة الخبث. فمعظم مرشحات البريد وبوابات الأمان تثق بطبيعتها بالروابط التي تشير إلى نطاقات Google، ما يسمح لرسائل التصيّد هذه بالمرور حتى عبر دفاعات يقِظة. تُصاغ رسائل المهاجمين بشكل فردي، مستخدمة خطّافات عاطفية تتراوح بين تحذيرات عاجلة بشأن الحساب (“سعة تخزين حساب Google ممتلئة”)، وتهديدات أمنية (“تم اكتشاف تهديد حرج”)، وصولًا إلى عروض مغرية من علامات تجارية معروفة أو نصائح أسلوب حياة. لكن جميع الطرق تؤدي إلى الفخ نفسه: نقرة على الرابط تعيد توجيه المستخدم بهدوء بعيدًا عن Google إلى صفحة دفع أو مكافأة مزيفة.

من النقر إلى الاختراق

بمجرد الوصول إلى موقع الهبوط الاحتيالي، يُطلب من الضحايا إدخال معلومات دفع حساسة - غالبًا تحت ذريعة رسوم الشحن أو استعادة الحساب أو المطالبة بجائزة. وما إن تُدخل التفاصيل حتى تُسحب إلى أنظمة يسيطر عليها المهاجمون، ممهدة الطريق للاحتيال ببطاقات الائتمان أو سرقة الهوية. ويطلق الباحثون على هذا الأسلوب اسم “التصيّد عبر منصة موثوقة”، في إشارة إلى الاتجاه المتنامي لإساءة استخدام مزوّدي السحابة ذوي السمعة الجيدة لإطالة عمر البنية التحتية الخبيثة.

ومع تحليل أكثر من 25 عينة تصيّد، تُظهر الحملة مزيجًا من البراعة التقنية والتلاعب النفسي. إن استخدام بنية Google التحتية لا يعزز المصداقية فحسب، بل يعقّد أيضًا عمليات الكشف والإزالة، ما يترك المستخدمين النهائيين عرضة للخطر بشكل خاص.

ماذا يمكنك أن تفعل؟

يحث الخبراء المستخدمين والمؤسسات على تدقيق مسارات إعادة التوجيه، خصوصًا تلك التي تبدأ بـ storage.googleapis.com، والتحقق من تفاصيل المُرسل بحثًا عن أي تناقضات. كما أن الإبلاغ عن الحاويات المشبوهة إلى فريق إساءة الاستخدام في Google Cloud أمرٌ أساسي لتعطيل مثل هذه الحملات. وفي النهاية، يُعد هذا الهجوم تذكيرًا صارخًا: حتى أكثر المنصات موثوقية يمكن تحويلها إلى سلاح، وتبقى اليقظة أفضل دفاع لدينا في مشهد الجريمة السيبرانية المتغير.

WIKICROOK

التصيّد: التصيّد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
Google Cloud Storage (GCS): Google Cloud Storage خدمة تخزين ملفات عبر الإنترنت آمنة وقابلة للتوسع من Google، تُستخدم لاستضافة البيانات والنسخ الاحتياطية ومحتوى الويب.
مُعيد التوجيه: مُعيد التوجيه ينقل المستخدمين من عنوان URL إلى آخر، وغالبًا ما يُستخدم في عمليات الاحتيال لإخفاء الوجهة الحقيقية للروابط الخبيثة أو روابط التصيّد.
SPF وDKIM: بروتوكولا SPF وDKIM هما بروتوكولات أمان للبريد الإلكتروني تتحقق من أصالة المُرسل وتمنع انتحال البريد، ما يساعد على الحماية من التصيّد والرسائل المزعجة.
الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل القراصنة لخداع الناس كي يكشفوا معلومات سرية أو يوفّروا وصولًا غير مصرح به إلى الأنظمة.