كشفت تقارير أمنية حديثة عن حملة تصيد احتيالي جديدة تستهدف الباحثين عن عمل، وذلك عبر استخدام مواقع وهمية لـ”نماذج جوجل” (Google Forms) بهدف سرقة بيانات تسجيل الدخول وبياناتهم الشخصية.
تعتمد هذه الحملة على تقنيات انتحال نطاقات متطورة لخداع الضحايا وإجبارهم على الكشف عن معلومات حساباتهم على جوجل. وقد قام المهاجمون بتسجيل نطاق احتيالي يحاكي بشكل وثيق خدمة “نماذج جوجل” الرسمية.
تتمحور عملية التصيد هذه حول استخدام عناوين URL مشبوهة تتضمن النطاق الفرعي forms.google.ss-o[.]com، والذي يحاول خداع المستخدمين ليبدو وكأنه عنوان forms.google.com الشرعي. يبدو أن الجزء “ss-o” مصمم ليبدو مثل “المصادقة الموحدة” (single sign-on)، وهي طريقة مصادقة تسمح للمستخدمين بالوصول إلى تطبيقات متعددة بنفس بيانات الاعتماد.
عندما يتلقى الضحايا روابط التصيد هذه عبر رسائل البريد الإلكتروني المستهدفة أو رسائل لينكد إن، يتم توجيههم إلى صفحة تبدو وكأنها صفحة “نماذج جوجل” أصلية.
حملة التصيد الاحتيالي عبر نماذج جوجل
يعرض النموذج المزيف وظيفة “مسؤول دعم العملاء”، ويطلب من المتقدمين تقديم أسمائهم، وبريدهم الإلكتروني، وشرح سبب استحقاقهم للدور. وقد حدد محللو Malwarebytes هذه الحملة خلال تحقيقهم في هجمات التصيد المتعلقة بالوظائف، كاشفين عن حجم عملية جمع بيانات الاعتماد هذه.
قام المهاجمون بتطبيق آليات إعادة توجيه لمنع باحثي الأمن السيبراني من تحليل بنيتهم التحتية. فعند الوصول إلى عناوين URL المشبوهة، يتم إعادة توجيه الضحايا إلى صفحات بحث جوجل محلية.
البنية التحتية التقنية وراء الهجوم
قام القائمون على حملة التصيد بنشر ملف يسمى generation_form.php على نطاقهم لإنشاء عناوين URL مخصصة لكل ضحية. يقوم هذا السكربت بإنشاء روابط فريدة تتعقب الأهداف الفردية.
يقوم الموقع المزيف بنسخ عناصر تصميم “نماذج جوجل”، بما في ذلك الشعارات الرسمية، والمخططات اللونية، والإخلاء القياسي الذي يفيد بأن “هذا المحتوى لم يتم إنشاؤه أو المصادقة عليه بواسطة جوجل”.
عندما ينقر الضحايا على زر “تسجيل الدخول”، يتم إعادة توجيههم إلى id-v4[.]com/generation.php، والذي تم استخدامه في حملات التصيد الاحتيالي لما يقرب من عام.
تدابير الحماية الموصى بها
يوصي خبراء الأمن السيبراني باتخاذ عدة تدابير وقائية. أولاً، يجب عدم النقر مطلقًا على الروابط الموجودة في عروض العمل غير المرغوب فيها، بغض النظر عن مدى شرعيتها.
يوفر استخدام مدير كلمات المرور حماية، حيث لا تقوم هذه الأدوات بملء بيانات الاعتماد تلقائيًا على المواقع الاحتيالية. كما تساعد حلول مكافحة البرامج الضارة في الوقت الفعلي على اكتشاف هجمات التصيد ومنعها.
يجب على المنظمات تثقيف الموظفين حول كيفية التعرف على النطاقات المشبوهة والتحقق من فرص العمل عبر القنوات الرسمية.
بالإضافة إلى ذلك، فإن تمكين المصادقة متعددة العوامل على حسابات جوجل يضيف طبقة أمنية تمنع الوصول غير المصرح به حتى لو تم سرقة بيانات الاعتماد.
مؤشرات الاختراق (Indicators of Compromise)
| النطاق | الحالة |
|---|---|
| id-v4[.]com | تم إزالته |
| forms.google.ss-o[.]com | نطاق تصيد نشط |