حملة تصيد احتيالي تستغل خدمة جوجل لسرقة بيانات مستخدمي فيسبوك
خلفية الحملة
كشفت شركة KnowBe4 عن حملة تصيد احتيالي واسعة النطاق تستغل إحدى خدمات جوجل لإرسال رسائل بريد إلكتروني خادعة تستهدف مستخدمي منصة فيسبوك. تهدف هذه الحملة إلى سرقة بيانات الدخول ورموز التحقق الثنائي (2FA) بل والحصول على رموز جلسات المستخدمين.
أسلوب العمل
تستخدم الحملة منصة AppSheet التابعة لجوجل، وهي أداة تطوير تطبيقات بدون أكواد مخصصة للويب والهواتف الذكية، وتعتمد الحملة على خاصية "أتمتة سير العمل" في AppSheet، ما يتيح إرسال رسائل من البريد الإلكتروني الشرعي noreply@appsheet.com. تمكّن هذه التقنية الرسائل من تجاوز أنظمة الحماية مثل Microsoft 365 وبوابات البريد الإلكتروني الآمن (SEGs) التي ترتكز على سمعة النطاق (هي تقييم لدرجة الثقة بالنطاق -اسم الموقع الإلكتروني- بناء على سجل أداءه) وتحققات المصادقة مثل SPF وDKIM وDMARC.
رسائل التصيد
تظهر الرسائل وكأنها مرسلة من شركة "ميتا" المالكة لفيسبوك، وتحتوي على تنبيهات كاذبة بشأن مزاعم بانتهاك حقوق ملكية فكرية، مع تحذير المستخدمين بأن حساباتهم معرضة للحذف خلال 24 ساعة في حال عدم تقديم استئناف عبر زر مرفق بالبريد الإلكتروني. عند الضغط على الزر يتم تحويل المستخدم إلى صفحة مزيفة تحاكي بدقة صفحة تسجيل الدخول في فيسبوك، إذ يُطلب منه إدخال بياناته بما في ذلك رمز التحقق الثنائي.
هجوم معقد
تتم معالجة هذه المعلومات مباشرة عبر الموقع الاحتيالي الذي يعمل كوسيط لإعادة إرسالها إلى خوادم فيسبوك، ما يتيح للمهاجمين الحصول على "رمز الجلسة" (session token)، بحيث يمكنهم الدخول إلى الحساب حتى في حال تغيير كلمة المرور لاحقاً. وأشار التقرير إلى أن الرسائل تم إرسالها على نطاق واسع Bulk Mail، وكانت كل رسالة تحتوي على معرّف كودي فريد تم إنشاؤه بواسطة AppSheet، ما سمح لها بتجاوز أنظمة الكشف التقليدية.
هيكل الحملة
بهذا الأسلوب، بات بمقدور المهاجمين تفادي الفلاتر التي تعتمد على الأنماط أو التكرار في فحص الرسائل. من بين الحيل التي لجأ إليها القراصنة، إرسال نتيجة "كلمة مرور خاطئة" بعد أول محاولة دخول، حتى لو كانت البيانات صحيحة، وذلك لإقناع المستخدم بأنه ارتكب خطأ، وبالتالي تأكيد الإدخال مجدداً، وهو ما يمنح المهاجمين درجة أعلى من التيقن بأن البيانات المجمّعة صحيحة.
استضافة الصفحات الاحتيالية
استضافت الحملة صفحاتها الاحتيالية على منصة Vercel، وهي خدمة استضافة معروفة ومعتبرة في مجتمع المطورين، ما منح الحملة مزيداً من المصداقية أمام أعين المستخدمين. وأوضحت KnowBe4 أن استخدام خدمات موثوقة يضفي شرعية زائفة على الرسائل الاحتيالية ويزيد من فرص نجاح الهجوم.
ذروة الحملة
بلغت الحملة ذروتها في 20 أبريل 2025، إذ أفادت KnowBe4 بأن 10.88% من جميع رسائل التصيّد الإلكتروني في ذلك اليوم تم إرسالها عبر AppSheet، منها نحو 98.23% كانت موجهة لمستخدمي "ميتا"، فيما تم توجيه النسبة المتبقية لمستخدمي "باي بال".
توصيات للوقاية
فيما أوصى باحثون بشركة KnowBe4 بعدد من الإجراءات الاحترازية للحد من هذه التهديدات، وعلى رأسها التأكد من مصدر الرسالة حيث يجب التحقق من عنوان البريد الإلكتروني للمرسل قبل اتخاذ أي إجراء، وعدم النقر على الروابط المشبوهة فينصح بعدم التفاعل مع أي روابط أو أزرار في رسائل غير متوقعة.
كما أوصوا بضرورة استخدام حلول الحماية الذكية التي تعتمد على الذكاء الاصطناعي وتدريب الموظفين على اكتشاف محاولات التصيّد، مع الحرص على الإبلاغ عن الرسائل الاحتيالية يتعين على المستخدمين التواصل مع الجهات المختصة أو فرق الدعم الفني للإبلاغ عن أي رسائل مريبة.
