في هجوم تصيّد إلكتروني تم وصفه بأنه “بالغ التعقيد”، استغل قراصنة الإنترنت ثغرات غير شائعة تمكنهم من إرسال رسائل بريد إلكتروني مزيفة عبر بنية Google التحتية، توجّه الضحايا إلى مواقع احتيالية مصممة لسرقة بيانات تسجيل الدخول.
رسائل مزيفة بتوقيع حقيقي من Google
كشف نيك جونسون، المطور الرئيسي في مشروع Ethereum Name Service (ENS)، أن الرسائل التي تلقاها المستخدمون كانت تحمل توقيع DKIM صحيحًا، مما يجعل Gmail يعرضها دون أي تحذيرات أمان، بل ويضعها ضمن نفس سلسلة المحادثة الخاصة بالتنبيهات الأمنية الحقيقية من Google.
تفاصيل الهجوم: استغلال Google Sites وتزوير صفحات الدعم
تضمنت الرسالة ادعاءً بوجود استدعاء قانوني من جهة إنفاذ قانون تطلب معلومات من حساب Google، وتحث المستخدم على النقر على رابط.
الرابط يقود إلى صفحة وهمية تُحاكي صفحة دعم Google الرسمية، وتحتوي على أزرار مثل “تحميل مستندات إضافية” أو “عرض القضية”، والتي بدورها تنقل المستخدم إلى صفحة تسجيل دخول مزيفة على Google — مستضافة بالكامل عبر Google Sites.
لماذا Google Sites أداة مثالية للهجوم؟
يشرح جونسون أن Google Sites، كونها خدمة قديمة، تسمح للمستخدمين بنشر محتوى على نطاق google.com، بما في ذلك أكواد JavaScript مخصصة، ما يسهل إنشاء مواقع تصيّد دون عناء. الأسوأ أن الواجهة لا تحتوي على خيار مباشر للإبلاغ عن إساءة الاستخدام، مما يعقّد عملية الإزالة.
الهجوم يعتمد على إعادة تشغيل توقيع DKIM (DKIM Replay)
تكمن الحيلة الأساسية في تنفيذ ما يُعرف بـ هجوم إعادة توقيع DKIM، والذي يعمل كالتالي:
-
ينشئ المهاجم حساب Google ب.
-
ينشئ تطبيق OAuth يحمل اسمًا يتضمن نص رسالة التصيّد بالكامل.
-
عند منح التطبيق حق الوصول للحساب، تُرسل Google رسالة تنبيه أمني إلى هذا الحساب، موقعة بمفتاح DKIM صحيح.
-
يُعاد إرسال هذه الرسالة من خلال حساب Outlook مع الحفاظ على توقيع DKIM، مما يسمح بتجاوز فلاتر الأمان.
-
تُمرر الرسالة عبر خادم SMTP مخصص يسمى Jellyfish، ثم تصل إلى بنية Namecheap للبريد الإلكتروني وتُحوّل إلى حساب Gmail المستهدف.
النتيجة: رسالة بريد إلكتروني تبدو أصلية تمامًا من Google، تتجاوز جميع آليات التحقق من SPF وDKIM وDMARC.
خداع بصري آخر: “مرسلة إلى me”
أحد تفاصيل الهندسة الاجتماعية الذكية هو تسمية الحساب بـ”me@”، مما يدفع Gmail لعرض أن الرسالة أُرسلت إلى “me” — وهو ما يظهر بشكل طبيعي عند استلام رسائل موجهة مباشرة إلى المستخدم، مما يقلل احتمالية الشك.
استجابة Google والإجراءات الوقائية
أكدت Google لـ The Hacker News أنها أغلقت هذا المسار الاستغلالي، وأكدت أنها لا تطلب أبدًا من المستخدمين تقديم كلمات المرور أو رموز الدخول ذات الاستخدام الواحد.
وأضاف المتحدث الرسمي باسم Google:
“نحن على دراية بهذه الفئة من الهجمات المستهدفة، وقد طبقنا حماية لمنع إساءة الاستخدام. ننصح المستخدمين بتفعيل المصادقة متعددة العوامل والمفاتيح الأمنية (Passkeys) للحماية من حملات التصيّد.”
تهديدات متزايدة: تصيّد باستخدام ملفات SVG
يتزامن هذا الكشف مع تزايد الحملات التي تستغل ملفات SVG، حيث تحتوي هذه الملفات على كود HTML يمكن أن يعيد توجيه المستخدم إلى نماذج تسجيل دخول مزيفة لمايكروسوفت أو صفحات Google Voice احتيالية.
وأفادت شركة Kaspersky الروسية للأمن السيبراني أنها رصدت أكثر من 4100 رسالة تصيّد تحتوي على مرفقات SVG منذ بداية 2025.
وقالت Kaspersky:
“المهاجمون لا يتوقفون عن تجربة أساليب جديدة لتجاوز أنظمة الكشف، بدءًا من إعادة التوجيه النصي، إلى تشويش المحتوى، وصولًا إلى تنسيقات المرفقات المتقدمة.”
