كشفت تقارير أمنية حديثة عن حملة تصيد احتيالي متطورة تستغل البنية التحتية الموثوقة لخدمات Google Cloud لسرقة بيانات اعتماد تسجيل الدخول الخاصة بحسابات Microsoft 365. يعتمد المهاجمون على أدوات أتمتة سير العمل المشروعة لإنشاء رسائل بريد إلكتروني تصيدية مقنعة، مما يجعل اكتشافها صعباً على الأنظمة الآلية والمستخدمين على حد سواء.
تستهدف هذه الحملة بشكل خاص المؤسسات التي تعتمد على منصات التعاون السحابية، مستغلة التفاعل بين كبرى الشركات في مجال الخدمات لتسهيل عملية جمع بيانات الاعتماد على نطاق واسع. وبحسب باحثي الأمن السيبراني، فإن هذه الطريقة تقلل بشكل كبير من حاجز الدخول للمجرمين الإلكترونيين.
استغلال خدمات Google Cloud في التصيد الاحتيالي
تكمن آليات الهجوم في استغلال خدمة Google Cloud Application Integration، وهي أداة مصممة لأتمتة العمليات التجارية. يستخدم المهاجمون ميزة “إرسال بريد إلكتروني” ضمن هذه المنصة لإنشاء رسائل تصيدية تبدو وكأنها صادرة عن عنوان بريد إلكتروني رسمي من Google: noreply-application-integration@google[.]com.
نظراً لأن هذه الرسائل تأتي من نطاق Google موثق وتستخدم نظام إعداد نقاط ونقر، فإنها تتجاوز بسهولة عوامل تصفية البريد العشوائي القياسية وتستفيد من الثقة المتأصلة المرتبطة ببنية عملاقة التكنولوجيا لخداع الأهداف.
من جهة أخرى، يستغل المهاجمون أيضاً الأرصدة المجانية التي تقدمها Google Cloud للعملاء الجدد، مما يقلل من تكاليف عملياتهم الخبيثة. ويبدو أن هذه الحملة تستفيد من هذه الموارد لتضخيم نطاق هجماتها.
آلية العدوى المتعددة المراحل
تتبع الحملة آلية عدوى متعددة المراحل لتجنب الكشف. عند النقر على الرابط في البريد الإلكتروني التصيدي، لا يتم توجيه الضحية مباشرة إلى موقع ضار. بدلاً من ذلك، يتم توجيهه إلى عنوان URL شرعي لخدمة Google Cloud Storage، مما يعزز وهم الأمان.
من هناك، يتم إعادة توجيه المستخدم إلى نطاق آخر مملوك لـ Google، وهو googleusercontent[.]com، والذي يعرض صورة اختبار CAPTCHA أو “أنا لست روبوتًا”. تخدم هذه الخطوة الوسيطة هدفين حاسمين: فهي تقوم بتصفية زواحف الأمان الآلية التي قد تلتقط الموقع التصيدي، كما تقوم بإعداد الضحية نفسياً للامتثال.
بعد اجتياز التحقق، يتم توجيه الهدف أخيراً إلى صفحة تسجيل دخول وهمية خاصة بـ Microsoft 365 مصممة لالتقاط أسماء المستخدمين وكلمات المرور. ورغم أن هذه الصفحة تحاكي واجهة البوابة الرسمية بصرياً، إلا أن التدقيق الدقيق في عنوان الويب يكشف عن طبيعتها الخبيثة.
ردود الفعل والإجراءات الوقائية
أقرت Google بوجود هذا الاستغلال وأفادت بأنها قامت بحظر العديد من الحملات المرتبطة بذلك، موضحة أن هذا النشاط ينبع من سوء استخدام أداة أتمتة سير العمل وليس من اختراق لبنيتها التحتية.
ينصح متخصصو الأمن بمراقبة عناوين URL بعناية، حيث أن الصفحة المقصودة النهائية مستضافة على نطاقات غير رسمية. إضافة إلى ذلك، يعد تطبيق المصادقة متعددة العوامل (MFA) أمراً بالغ الأهمية لحماية حسابات المستخدمين من الوصول غير المصرح به.
تؤكد هذه التطورات على الحاجة المستمرة إلى اليقظة والتكيف مع الأساليب المتطورة التي يستخدمها المهاجمون في المشهد الرقمي المتغير باستمرار، وخاصة فيما يتعلق بأمن الحسابات السحابية.