كشفت حملة تصيد احتيالي متطورة عن استغلالها لمساحة تخزين جوجل السحابية (GCS) لاستضافة روابط إعادة توجيه خبيثة مصممة لتجاوز مرشحات البريد الإلكتروني الأمنية القياسية.
من خلال وضع محتوى ضار على نطاق مملوك لجوجل، نجح المهاجمون في جعل رسائل البريد الإلكتروني الاحتيالية تبدو موثوقة بما يكفي لتمرير دفاعات البريد الوارد والوصول إلى الضحايا غير المدركين دون إثارة أي إنذارات فورية.
حملة تصيد احتيالي تستغل مساحة تخزين جوجل السحابية
ظهرت الحملة لأول مرة في أوائل مارس 2026، عندما بدأ باحثو الأمن في ملاحظة حجم مرتفع بشكل غير عادي من رسائل البريد الإلكتروني الاحتيالية التي تشير جميعها إلى نفس الوجهة.
تم العثور على أكثر من 25 رسالة بريد إلكتروني تصيد احتيالي مميزة تستهدف حساب مستخدم واحد، وكل منها يؤدي إلى عنوان URL مستضاف على storage.googleapis.com.
الاتساق في الوجهة، على الرغم من تنوع سمات البريد الإلكتروني المستخدمة، أشار بوضوح إلى عملية منسقة تعمل من خلال بنية تحتية سحابية واحدة تسيطر عليها بالكامل من قبل المهاجمين.
وتمكن متعقب تهديدات ومحلل برامج ضارة، يدعى أنوراج، من تحديد النطاق الكامل لهذه الحملة من خلال المراقبة الدقيقة لصندوق الوارد وتحليل رؤوس SMTP الشامل.
من خلال فحص أكثر من اثنتين وعشرين عينة بريد إلكتروني بالتفصيل، تتبع كل مسار تصيد احتيالي إلى “مخزن” منفصل لمساحة تخزين جوجل السحابية اسمه “whilewait”، والذي كان يحتوي على ملف يسمى comessuccess.html – المحرك الهادئ وراء كل إعادة توجيه في هذه العملية.
تضمنت رسائل البريد الإلكتروني نفسها مجموعة واسعة من سمات الهندسة الاجتماعية. حذر البعض المستلمين من أن مساحة تخزينهم السحابية كانت ممتلئة تقريبًا أو أن اشتراك مكافحة الفيروسات الخاص بهم قد انتهت صلاحيته، بينما قدم البعض الآخر عروض جوائز وهمية من علامات تجارية معروفة مثل T-Mobile و Lowe’s و State Farm.
بغض النظر عن السمة المستخدمة، دفعت كل رسالة بريد إلكتروني الضحية نحو نفس الرابط المستضاف على مساحة تخزين جوجل السحابية، والذي أعاد بعد ذلك توجيه المتصفح بصمت إلى موقع خبيث منفصل تابع لجهة خارجية.
كيف تعمل بنية إعادة التوجيه
تعتمد الآلية بأكملها على كيفية تعامل مساحة تخزين جوجل السحابية مع الملفات المتاحة للجمهور. عندما ينشئ المهاجم مخزنًا في GCS ويقوم بتحميل ملف HTML إليه، يصبح هذا الملف قابلاً للوصول إليه عبر عنوان URL storage.googleapis.com – وهو نطاق تعامله معظم بوابات البريد الإلكتروني الأمنية على أنه شرعي.
نظرًا لأن رسائل البريد الإلكتروني الاحتيالية هذه تمر أيضًا بشيكات مصادقة SPF و DKIM، فإنها نادرًا ما تثير مرشحات البريد العشوائي أو تحذيرات التصيد الاحتيالي قبل الوصول إلى صندوق الوارد الخاص بالمستلم.
يعمل المخزن “whilewait” كنقطة تجميع للمهاجم داخل مشروع Google Cloud. الملف comessuccess.html الموجود بداخله ليس صفحة هبوط قياسية – إنه مُعيد توجيه غني بالبرامج النصية يقوم بنقل متصفح الضحية إلى موقع خبيث خارجي على الفور تقريبًا.
لا يرى الضحية أي شيء مريب، لأن التحول بأكمله يكتمل في أقل من ثانية، قبل وقت طويل من إدراكهم مغادرة البنية التحتية لجوجل بالكامل.
بمجرد وصولهم إلى الوجهة الخبيثة، يتم تقديم ما يبدو وكأنه دفعة روتينية للضحايا – عادةً ما تكون رسوم شحن صغيرة أو تجديد خدمة مرتبطة بالإغراء من البريد الإلكتروني الأصلي.
هذه هي مرحلة حصاد بطاقات الائتمان. يتم التقاط أي تفاصيل دفع يتم إدخالها على هذه الصفحات مباشرة من قبل المهاجمين، مما يؤدي إلى سرقة مالية فورية وخطيرة.
تكون السلسلة مقنعة على وجه التحديد لأن الرابط الأول يبدو أنه صادر عن جوجل، مما يجعل اكتشاف التهديد في الوقت المناسب أصعب بكثير على المستخدمين العاديين.
يجب على أي شخص يتلقى بريدًا إلكترونيًا يحتوي على رابط يبدأ بـ storage.googleapis.com أن يفهم أنه ليس اتصالًا مباشرًا من Google – إنه ملف تستضيفه جهة خارجية باستخدام البنية التحتية لجوجل.
يجب على المستخدمين دائمًا التحقق من عنوان البريد الإلكتروني للمرسل بعناية، حيث تستخدم رسائل البريد الإلكتروني الاحتيالية في هذه الحملة باستمرار سلاسل أبجدية رقمية عشوائية في حقل “من”، وهو مؤشر واضح على الاحتيال الجماعي الآلي.
يتم تشجيع فرق الأمن بشدة على الإبلاغ عن مخازن GCS النشطة المستخدمة في التصيد الاحتيالي إلى فريق إساءة استخدام Google Cloud.
نظرًا لأن جميع رسائل البريد الإلكتروني الـ 25+ في هذه الحملة تعتمد على مخزن مشترك واحد، فإن تقريرًا ناجحًا عن إغلاق يستهدف مخزن “whilewait” يمكن أن يوقف شبكة التصيد الاحتيالي بأكملها دفعة واحدة.
يجب على المستخدمين النهائيين التعامل مع أي بريد إلكتروني غير مرغوب فيه يحث على اتخاذ إجراء فوري بشأن التخزين أو الاشتراكات أو الجوائز بتشكك صحي، بغض النظر عن مدى ظهور الرابط المألوف.