كشفت شركة الأمن السيبراني Deep Specter عن عملية تصيّد إلكتروني واسعة النطاق وُصفت بأنها «صناعية الطابع ومتعددة السنوات»، نجحت في البقاء دون رصدٍ لأكثر من ثلاث سنوات داخل بيئتي Google Cloud وCloudflare.
التحقيق أظهر أن الحملة تمثل نموذجًا متطورًا من خدمة التصيّد كخدمة (Phishing-as-a-Service – PhaaS)، حيث استغلت جهات التهديد ما يزيد على 48 ألف مُضيف موزّعين على أكثر من 80 عنقودًا (Cluster)، مستخدمةً بنية تحتية ضخمة بُنيت على نطاقات منتهية الصلاحية ذات ثقة عالية.
استغلال النطاقات المنتهية لتقمّص العلامات الموثوقة
تستند هذه العملية إلى أسلوب بالغ الذكاء يعتمد على إعادة توظيف النطاقات المنتهية التي كانت ترتبط سابقًا بشركات كبرى أو مؤسسات موثوقة، ثم استغلال سمعتها الرقمية السابقة لخداع أنظمة الحماية والمستخدمين على السواء.
بعد السيطرة على هذه النطاقات، عمد المهاجمون إلى بناء مواقع تصيّد تُحاكي تصميم صفحات تسجيل الدخول الأصلية للعلامات التجارية الشهيرة، مستخدمين هذه الواجهات المزيفة لسرقة بيانات الدخول وتوزيع برمجيات خبيثة أو حتى الترويج لمحتوى المقامرات عبر الإنترنت.
البنية التقنية والقدرة على التمويه
اعتمدت البنية التشغيلية للحملة على خدمات الحوسبة السحابية الشهيرة مثل Google Cloud وCloudflare، ما منحها موثوقية ظاهرية عالية وساعدها على تجاوز فلاتر الأمان التقليدية.
الأخطر أن تحليل Deep Specter أظهر أن الكثير من المواقع المزيفة ما تزال تستورد موارد (resources) مباشرة من خوادم العلامة الأصلية، مما يعني أن الشركة الأصلية قد تكون — دون علمها — تزوّد المهاجمين بالمحتوى اللازم لتكميل صفحات الانتحال، الأمر الذي يجعل عملية الاكتشاف أكثر صعوبة ويزيد من خطر استغلال البنية التحتية الشرعية لخدمة أهداف خبيثة.
أبعاد الحادث ودلالاته الأمنية
تشير هذه الحملة إلى تحوّل نوعي في نموذج التصيّد الإلكتروني من نشاط محدود إلى صناعة قائمة على الخدمات السحابية، حيث تُدار العمليات بأسلوب شبه احترافي، وتُقدّم للمشتركين أدوات وتقنيات جاهزة للتنفيذ دون خبرة تقنية عميقة.
كما تعكس الواقعة ثغرات في سياسات الإشراف السحابي، إذ يُفترض أن تكون منصات كـGoogle Cloud وCloudflare قادرة على رصد الأنشطة المشبوهة، إلا أن قدرة المهاجمين على الاندماج ضمن حركة المرور الشرعية جعلت اكتشافهم شبه مستحيل لسنوات.
توصيات وتحذيرات للمؤسسات
يحذر الخبراء من أن هذه الظاهرة قد تتسع مع تزايد الاعتماد المؤسسي على البنى السحابية، ويوصون بمراجعة دورية للنطاقات المنتهية الخاصة بالشركات، وتفعيل أنظمة مراقبة للنشاطات المرتبطة باسم العلامة التجارية، إلى جانب اعتماد حلول حماية من التصيّد قائمة على الذكاء الاصطناعي القادر على اكتشاف السلوكيات غير المعتادة بدلاً من الاعتماد على السمعة الرقمية فقط.
