هجوم تصيّد متعدد المراحل يستغل خدمات جوجل السحابية لتوزيع رسائل احتيالية

هجوم تصيّد متعدد المراحل يستغل خدمات جوجل السحابية لتوزيع رسائل احتيالية
هجوم تصيّد متعدد المراحل يستغل خدمات جوجل السحابية لتوزيع رسائل احتيالية
شارك هذا الخبر

في مطلع يناير 2026، كشف باحثون في الأمن السيبراني عن حملة تصيّد معقدة تستغل ثقة المستخدمين في بنية جوجل السحابية، حيث عمد المهاجمون إلى إساءة استخدام ميزة Application Integration ضمن Google Cloud لإرسال رسائل بريد إلكتروني تبدو وكأنها صادرة عن جوجل نفسها. هذه الرسائل، التي جاءت من عنوان رسمي “noreply-application-integration@google.com”، نجحت في تجاوز أنظمة الحماية التقليدية لتصل مباشرة إلى صناديق البريد الخاصة بالضحايا.

طبيعة الرسائل الاحتيالية

وفقاً لشركة “Check Point”، فإن الرسائل كانت تحاكي إشعارات مؤسسية يومية مثل تنبيهات البريد الصوتي أو طلبات الوصول إلى ملفات مشتركة، مما جعلها تبدو طبيعية وموثوقة. خلال فترة أسبوعين في ديسمبر 2025، تم رصد أكثر من 9,394 رسالة تصيّد استهدفت نحو 3,200 مستخدم في الولايات المتحدة، أوروبا، آسيا-المحيط الهادئ، كندا، وأمريكا اللاتينية.

سلسلة الهجوم متعددة المراحل

جوهر الحملة يكمن في استغلال مهمة “Send Email” داخل خدمة التكامل، والتي تسمح بإرسال إشعارات مخصصة. المهاجمون تمكنوا من توجيه الرسائل إلى أي بريد إلكتروني، متجاوزين آليات التحقق مثل DMARC وSPF. بعد استلام الرسالة، يُوجَّه الضحية إلى رابط على خدمة storage.cloud.google.com، ثم يُعاد توجيهه إلى googleusercontent.com حيث يُعرض عليه اختبار CAPTCHA مزيف لإبعاد أدوات الفحص الآلي. في النهاية، يصل المستخدم إلى صفحة تسجيل دخول مزيفة تحاكي واجهة مايكروسوفت، ما يؤدي إلى سرقة بيانات الدخول الخاصة بحسابات Microsoft 365.

القطاعات المستهدفة وأبعاد أمنية

التحليل أظهر أن الحملة ركزت على قطاعات التصنيع، التكنولوجيا، الخدمات المالية، الخدمات المهنية، والتجزئة، إضافة إلى قطاعات أخرى مثل الإعلام، التعليم، الصحة، الطاقة، الحكومة، والسفر. هذه القطاعات تعتمد بشكل كبير على الإشعارات الآلية ومشاركة الملفات، مما يجعل الرسائل ذات العلامة التجارية لجوجل أكثر إقناعاً. اللافت أن المهاجمين استخدموا بنى تحتية موثوقة من جوجل، مايكروسوفت، وأمازون (AWS)، الأمر الذي صعّب على أنظمة الحماية اكتشاف الهجوم أو منعه في نقطة واحدة.

ردود الفعل والإجراءات المضادة

في أعقاب هذه الاكتشافات، أعلنت جوجل أنها قامت بحظر محاولات التصيّد التي استغلت ميزة الإشعارات في خدمة التكامل، مؤكدة أنها تتخذ خطوات إضافية لمنع أي إساءة استخدام مستقبلية. من جانبها، أشارت شركتا “xorlab” و”Ravenmail” إلى أن الحملة تضمنت أيضاً هجمات تصيّد عبر موافقة OAuth، حيث يتم خداع الضحايا لمنح تطبيقات خبيثة صلاحيات وصول إلى مواردهم السحابية في Azure، بما يشمل قواعد البيانات والاشتراكات والخوادم الافتراضية.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1096

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة