تحذير أمني: هكرز يستغلون جوجل كلاود لسرقة بيانات المستخدمين

كشف خبراء الأمن الرقمي عن حملة احتيال إلكتروني جديدة وخطيرة تستغل خدمات "جوجل كلاود" لإرسال رسائل بريد إلكتروني تبدو رسمية تماماً. تهدف هذه الهجمات المنظمة إلى خداع المستخدمين في الشركات والمؤسسات لسرقة بيانات اعتمادهم الحساسة من خلال تجاوز فلاتر الحماية التقليدية بذكاء.

كيف يعمل هجوم التصيد الجديد عبر جوجل؟

تعتمد هذه الحملة الخبيثة على استغلال ميزة شرعية في خدمات جوجل تُعرف باسم "Application Integration"، وتحديداً مهمة "Send Email" التي تتيح للمطورين إرسال إشعارات مخصصة. وبحسب ما رصده تيكبامين، فإن المهاجمين يقومون بإساءة استخدام هذه الأداة لإرسال رسائل تصيد من عناوين بريد إلكتروني تنتمي فعلياً لنطاقات جوجل الرسمية، مما يمنحها شرعية زائفة أمام أنظمة الحماية.

تكمن خطورة هذا الأسلوب في أن الرسائل تخرج من خوادم جوجل الموثوقة، مما يعني أنها تنجح في تجاوز بروتوكولات التحقق من الهوية القياسية مثل SPF وDKIM وDMARC، والتي عادة ما توقف الرسائل المزيفة. هذا الأمر يزيد بشكل كبير من احتمالية وصول الرسالة إلى صندوق الوارد الرئيسي للضحية بدلاً من مجلد الرسائل غير المرغوب فيها.

لماذا تبدو الرسائل المزيفة موثوقة للغاية؟

لزيادة فرص نجاح الهجوم، حرص القراصنة على محاكاة تصميم ورسائل إشعارات المؤسسات الروتينية بدقة عالية. تشمل أساليب الخداع المستخدمة ما يلي:

• إشعارات وهمية بوجود رسائل صوتية (Voicemail) جديدة.
• طلبات مزيفة للوصول إلى ملفات مشتركة أو مستندات عمل.
• تنبيهات تتعلق بمشاركة ملفات الربع السنوي (Q4 files).

تستخدم هذه الرسائل لغة احترافية وتنسيقاً مطابقاً لتنبيهات جوجل الرسمية، مما يجعله من الصعب جداً على المستخدم العادي الشك في مصداقيتها، حيث تدفع الضحية للنقر على الروابط المرفقة لاتخاذ "إجراء فوري" مزعوم.

ما هو حجم الهجوم ومن هم المستهدفون؟

أظهرت البيانات التي تم جمعها خلال شهر ديسمبر 2025 أن هذه الحملة كانت نشطة للغاية وموجهة بعناية. وفيما يلي أبرز الإحصائيات حول نطاق الهجوم:

• تم إرسال أكثر من 9,300 رسالة تصيد خلال أسبوعين فقط.
• استهدف الهجوم حوالي 3,200 عميل ومؤسسة.
• شملت المناطق المتضررة الولايات المتحدة، كندا، أوروبا، آسيا، وأمريكا اللاتينية.

تسلسل عملية سرقة البيانات

لا يتوقف دهاء المهاجمين عند إرسال البريد الإلكتروني، بل يمتد إلى سلسلة معقدة من عمليات إعادة التوجيه لسرقة البيانات:

• الخطوة الأولى: ينقر الضحية على رابط مستضاف على `storage.cloud.google.com`، وهو نطاق موثوق لا تمنعه معظم برامج الحماية.
• الخطوة الثانية: يتم توجيه المستخدم إلى صفحة تحتوي على اختبار تحقق (CAPTCHA) وهمي، والهدف منه منع برامج الفحص الآلي من اكتشاف الصفحة الخبيثة النهائية.
• الخطوة الثالثة: يصل الضحية أخيراً إلى صفحة تسجيل دخول مزيفة تشبه صفحة مايكروسوفت تماماً، حيث يتم سرقة أي بيانات يتم إدخالها.

ينصح تيكبامين جميع المستخدمين بتوخي الحذر الشديد عند التعامل مع أي رسائل تطلب إجراءات عاجلة أو تسجيل دخول، حتى لو كانت قادمة من نطاقات تبدو مألوفة أو موثوقة مثل خدمات جوجل السحابية.