تطور مقلق: رسائل احتيالية تصل من عناوين بريد إلكتروني رسمية مثل no-reply@google.com
⬤ استخدم مهاجمون رسائل احتيالية تبدو أنها صادرة من حسابات Google الرسمية التي يتوقعها المستخدمون.
⬤ مكنت ثغرة في توقيع DKIM من تمرير الرسائل الاحتيالية عبر الفحص الأمني دون إنذار يُذكر.
⬤ اعترفت Google بخطورة الهجوم وبدأت باتخاذ خطوات لمعالجة الثغرات وتحسين آليات الحماية.
في حملة تصيد احتيالية شديدة الحرفية، بدأ عدد من مستخدمي Google يتعرضون لهجوم إلكتروني ذكي للغاية، يستغل بشكل ماكر البنية التحتية الخاصة بالشركة نفسها للالتفاف على التدابير الأمنية وسرقة بيانات الدخول إلى الحسابات.
يستند هذا الهجوم إلى نظام تفويض الدخول OAuth الذي تعتمده Google، بالإضافة إلى خدمة إنشاء المواقع المجانية Google Sites، لإنشاء رسائل بريد إلكتروني وصفحات تسجيل دخول مزيفة تحاكي بشكل يكاد يكون تاماً الواجهات الرسمية، بل وتتمكن من اجتياز الفحوصات الأمنية المعتادة.
From there, presumably, they harvest your login credentials and use them to compromise your account; I haven't gone further to check.
So how did they do it – especially the valid email? This is due to two vulnerabilities in Google's infra that they have declined to fix.
— nick.eth (@nicksdjohnson) April 16, 2025
كشف المطور نك جونسون، المسؤول التقني لمشروع Ethereum Name Service، عن تفاصيل هذه الحيلة عبر منصات التواصل الاجتماعي، بعدما تلقى رسالة بريد إلكتروني أمنية تبدو في غاية المصداقية، تحمل عنواناً صادراً من no-reply@google.com، وتبلغه بوجود مذكرة قانونية مزعومة تطالب بالوصول إلى بيانات حسابه لدى Google.
ما زاد من خطورة الرسالة أنها كُتبت بلغة سليمة خالية من الأخطاء النحوية المعتادة في رسائل الاحتيال، كما اجتازت اختبار التحقق من إعداد البريد المعرَّف بمفاتيح النطاق (DKIM) المستخدَم للتأكد من موثوقية المرسل، وظهرت ضمن نفس المجموعة البريدية التي تضم التنبيهات الأمنية الأصلية من Google. وعلق جونسون قائلاً: «كل شيء تقريباً بدا حقيقياً.» محذراً من احتمالية وقوع المستخدمين الأقل خبرة في الفخ.
وجّه البريد المستلم المستخدم إلى «بوابة دعم» تبدو، حسب وصف جونسون، «مطابقة تماماً للواجهة الأصلية.» ولكن الدليل الحاسم على الاحتيال كان في رابط الصفحة، الذي يشير إلى النطاق sites.google.com، وهو النطاق الخاص بإنشاء المواقع لدى Google، وليس النطاق الرسمي لتسجيل الدخول accounts.google.com. وكان النقر على روابط مثل «عرض القضية» يؤدي إلى صفحة تسجيل دخول زائفة على نفس النطاق.
وفقاً لتحليل جونسون، اعتمد المهاجمون على ما يُعرف بهجوم إعادة استخدام توقيع DKIM، وذلك عبر سلسلة خطوات دقيقة:
- يقوم المهاجم بتسجيل نطاق خاص به، وإنشاء حساب Google Workspaceبعنوان مثل me@[attacker-domain].com.
- ينشئ تطبيق OAuth، ويضع نص رسالة التصيد كاملة كاسم لهذا التطبيق، مع استخدام فراغات إضافية لخداع العين.
- يمنح هذا التطبيق إذناً بالوصول إلى بريده الخاص.
- بعد التفويض، ترسل Googleتلقائياً تنبيهاً أمنياً إلى هذا البريد، ويحمل توقيع DKIMصحيحاً.
- أخيراً، يُعيد المهاجم توجيه هذه الرسالة الموقعة إلى الضحية.
تكمن الثغرة الرئيسية في اعتماد DKIM على التحقق من محتوى الرسالة وبعض رؤوسها، دون فحص كاف لمعلومات الإرسال الأصلية. وبالتالي، تحتفظ الرسالة المُعاد توجيهها بتوقيعها السليم، ما يجعلها تمر عبر أنظمة الفحص الأمني دون إنذار.
بهذا الصدد، أوضحت ميليسا بيشوبينغ، مديرة أبحاث الأمن السيبراني لدى Tanium، أن «خطورة هذا الهجوم لا تكمن فقط في التفاصيل التقنية، بل في استغلال خدمات موثوقة لتجاوز أدوات الحماية والمستخدمين على حد سواء،» مشيرة إلى أن الدمج بين تطبيق OAuth والثغرة في توقيع DKIM جعل الحيلة أكثر إقناعاً.
رغم أن المسؤولية الأساسية تقع على المهاجمين، إلا أن خبراء الأمن لفتوا إلى أن بعض نقاط الضعف في بنية Google هي ما مكن هذا النوع من الهجوم. ومن أبرز هذه النقاط مرونة منصة Google Sites التي قد تسمح بتضمين شفرات غير آمنة، وآلية التعامل مع الرسائل الموقعة عبر DKIM.
عند إبلاغ Google بهذه الثغرة، كان الرد الأولي للشركة بأن النظام «يعمل كما هو مقصود،» لكنها سرعان ما غيرت موقفها، معترفة بخطورة الموقف ومعلنة أنها تعمل على معالجة الثغرات في OAuth وغيرها من الجوانب ذات الصلة.
من الجدير بالذكر أن هذه الحيلة لا تقتصر على Google وحدها، إذ جرى تسجيل هجوم مشابه في مارس الماضي استهدف مستخدمي PayPal، من خلال ميزة «عنوان الإهداء» لإنشاء رسائل تبدو رسمية، وبتوقيع DKIM، ثم إعادة توجيهها إلى الضحايا محملة بمحتوى تصيد احتيالي.
في انتظار أن تطلق Google حلاً للأمر، ينصح خبراء الأمن المستخدمين باتباع عدد من الإجراءات الاحترازية، ومنها:
- التشكيك في رسائل الطوارئ: أي رسالة تتطلب تصرفاً فورياً أو تهدد بعواقب سلبية يجب التعامل معها بحذر شديد.
- فحص عنوان المرسل والمستلم: تأكد من أن البريد موجه لك شخصياً وليس إلى عنوان عام مثل me@، مع الاطلاع اطّلع على ترويسة mailed-byإن أمكن.
- تجنب النقر على الروابط: لا تنقر على أي رابط في رسالة مشبوهة، خاصة تلك المرتبطة بالحسابات أو القضايا القانونية. بدلاً من ذلك، ادخل يدوياً إلى الموقع الرسمي (مثل com) للتحقق من أي إشعارات.
- البحث عن الرسالة عبر الإنترنت: إذا ساورك الشك، انسخ جملة مميزة من الرسالة وابحث عنها في الإنترنت، فقد يكون آخرون قد أبلغوا عنها بالفعل.
يؤكد هذا الهجوم مدى تطور أساليب التصيد الاحتيالي الأخيرة، ويعيد التأكيد على أهمية اليقظة وعدم الركون إلى الثقة المطلقة في الواجهات المألوفة.
