كشفت شركة الأمن السيبراني (KnowBe4) عن حملة تصيد إلكتروني واسعة النطاق تستغل إحدى خدمات “جوجل” لإرسال رسائل بريد إلكتروني خادعة تستهدف مستخدمي منصة فيسبوك، وسرقة معلوماتهم الحساسة مثل بيانات تسجيل الدخول، ورموز التحقق الثنائي، وحتى رموز الجلسة التي تُمكّن القراصنة من الوصول إلى الحسابات.
استغلال خدمة جوجل
وبحسب تقرير شركة الأمن السيبراني، يستخدم القراصنة منصة AppSheet التابعة لجوجل، وهي أداة تطوير تطبيقات بدون أكواد مخصصة للويب والهواتف الذكية.
ويعتمد القراصنة في هذه الحملة على خاصية “أتمتة سير العمل” في AppSheet، والتي تتيح إرسال رسائل بريد إلكتروني من عنوان رسمي تابع لجوجل: `noreply@appsheet.com`.
وبهذا الأسلوب، تتمكن الرسائل من تجاوز أنظمة الحماية مثل Microsoft 365 والبريد الآمن (SEGs) عبر استغلال ثقة النظام في سمعة النطاق ومصداقية بروتوكولات الحماية مثل SPF وDKIM وDMARC.
خدعة باسم ميتا
وتظهر الرسائل وكأنها مرسلة من شركة “ميتا” المالكة لفيسبوك، وتحتوي على تنبيهات كاذبة بشأن مزاعم بانتهاك حقوق ملكية فكرية، مع تحذير المستخدمين بأن حساباتهم معرضة للحذف خلال 24 ساعة في حال عدم تقديم استئناف عبر زر مرفق بالبريد الإلكتروني. وبمجرد الضغط على الزر يتم تحويل المستخدم إلى صفحة مزيفة تحاكي بدقة صفحة تسجيل الدخول في فيسبوك، إذ يُطلب منه إدخال بياناته بما في ذلك رمز التحقق الثنائي.
وتتم معالجة هذه المعلومات مباشرة عبر الموقع الاحتيالي الذي يعمل كوسيط لإعادة إرسالها إلى خوادم فيسبوك، ما يتيح للمهاجمين الحصول على “رمز الجلسة”، بحيث يمكنهم الدخول إلى الحساب حتى عند تغيير كلمة المرور لاحقاً.
شرعية زائفة
وأشارت KnowBe4 إلى أن الرسائل تم إرسالها على نطاق واسع Bulk Mail، وكانت كل رسالة تحتوي على معرّف كودي فريد تم إنشاؤه بواسطة AppSheet، ما سمح لها بتجاوز أنظمة الكشف التقليدية. وبهذا الأسلوب، بات بمقدور المهاجمين تفادي الفلاتر التي تعتمد على الأنماط أو التكرار في فحص الرسائل.
ومن بين الحيل التي لجأ إليها القراصنة، إرسال نتيجة “كلمة مرور خاطئة” بعد أول محاولة دخول، حتى لو كانت البيانات صحيحة، وذلك لإقناع المستخدم بأنه ارتكب خطأ، وبالتالي تأكيد الإدخال مجدداً، وهو ما يمنح المهاجمين درجة أعلى من التيقن بأن البيانات المجمّعة صحيحة.
استضافت الحملة صفحاتها الاحتيالية على منصة Vercel، وهي خدمة استضافة معروفة ومعتبرة في مجتمع المطورين، ما منح الحملة مزيداً من المصداقية أمام أعين المستخدمين.
وأوضحت KnowBe4 أن استخدام خدمات موثوقة يضفي شرعية زائفة على الرسائل الاحتيالية ويزيد من فرص نجاح الهجوم.
أرقام صادمة
بلغت الحملة ذروتها في 20 أبريل 2025، إذ أفادت KnowBe4 بأن 10.88% من جميع رسائل التصيّد الإلكتروني في ذلك اليوم تم إرسالها عبر AppSheet، منها نحو 98.23% كانت موجهة لمستخدمي “ميتا”، فيما تم توجيه النسبة المتبقية لمستخدمي “باي بال”.
توصيات للوقاية
وأوصى باحثون بشركة KnowBe4 بعدد من الإجراءات الاحترازية للحد من هذه التهديدات، وعلى رأسها التأكد من مصدر الرسالة حيث يجب التحقق من عنوان البريد الإلكتروني للمرسل قبل اتخاذ أي إجراء، وعدم النقر على الروابط المشبوهة فينصح بعدم التفاعل مع أي روابط أو أزرار في رسائل غير متوقعة.
كما أوصوا بضرورة استخدام حلول الحماية الذكية التي تعتمد على الذكاء الاصطناعي وتدريب الموظفين على اكتشاف محاولات التصيّد، مع الحرص على الإبلاغ عن الرسائل الاحتيالية يتعين على المستخدمين التواصل مع الجهات المختصة أو فرق الدعم الفني للإبلاغ عن أي رسائل مريبة.
