في عالم الأمن السيبراني، تتزايد التهديدات التي تواجه المؤسسات، ومن أبرزها الحملات التي تستغل الخدمات السحابية. في هذا المقال، نناقش كيف استغل المجرمون الإلكترونيون ميزة البريد الإلكتروني في Google Cloud في حملة تصيد متعددة المراحل.
استغلال المجرمين الإلكترونيين لميزة البريد الإلكتروني في Google Cloud في حملة تصيد متعددة المراحل
كشف باحثو الأمن السيبراني عن تفاصيل حملة تصيد تتضمن انتحال المهاجمين لرسائل شرعية تم إنشاؤها بواسطة Google من خلال استغلال خدمة تكامل التطبيقات في Google Cloud لتوزيع الرسائل الإلكترونية.
تستفيد هذه النشاطات، وفقًا لما ذكرته شركة Check Point، من الثقة المرتبطة ببنية Google Cloud التحتية لإرسال الرسائل من عنوان بريد إلكتروني شرعي (“noreply-application-integration@google[.]com”) بحيث يمكنها تجاوز الفلاتر الأمنية التقليدية وزيادة فرص وصولها إلى صناديق الوارد الخاصة بالمستخدمين.
“تُحاكي الرسائل الإلكترونية إشعارات روتينية للمؤسسات مثل تنبيهات البريد الصوتي وطلبات الوصول إلى الملفات أو الأذونات، مما يجعلها تبدو طبيعية وموثوقة للمستلمين،” كما قالت شركة الأمن السيبراني.
تم رصد المهاجمين وهم يرسلون 9,394 رسالة تصيد تستهدف حوالي 3,200 عميل على مدار فترة 14 يومًا تم رصدها في ديسمبر 2025، مع وجود المنظمات المتأثرة في الولايات المتحدة وآسيا والمحيط الهادئ وأوروبا وكندا وأمريكا اللاتينية.
استغلال ميزة “Send Email”
في قلب الحملة يكمن استغلال ميزة “Send Email” في تكامل التطبيقات، والتي تسمح للمستخدمين بإرسال إشعارات بريد إلكتروني مخصصة من تكامل. تشير Google في وثائق الدعم الخاصة بها إلى أنه يمكن إضافة حد أقصى يبلغ 30 مستلمًا إلى هذه الميزة.
إن حقيقة أن هذه الرسائل يمكن تكوينها ليتم إرسالها إلى أي عناوين بريد إلكتروني عشوائية تُظهر قدرة المهاجمين على إساءة استخدام ميزة الأتمتة الشرعية لصالحهم وإرسال رسائل من نطاقات مملوكة لـ Google، مما يمكنهم من تجاوز فحوصات DMARC وSPF.
“لزيادة الثقة، اتبعت الرسائل الإلكترونية عن كثب نمط وهيكل إشعارات Google، بما في ذلك التنسيق واللغة المألوفة،” أضافت Check Point. “غالبًا ما تشير الفخاخ إلى رسائل البريد الصوتي أو تدعي أن المستلم قد تم منحه حق الوصول إلى ملف أو مستند مشترك، مثل الوصول إلى ملف ‘Q4’، مما يدفع المستلمين للنقر على الروابط المضمنة واتخاذ إجراء فوري.”
سلسلة الهجمات
تبدأ سلسلة الهجمات بتوجيه المستخدمين إلى رابط مستضاف على storage.cloud.google[.]com، وهو خدمة موثوقة أخرى من Google Cloud. يُعتبر هذا الجهد محاولة أخرى لتقليل شكوك المستخدمين ومنحها مظهرًا من الشرعية.
ثم يتم إعادة توجيه المستخدم إلى محتوى يتم تقديمه من googleusercontent[.]com، حيث يتم تقديمه إلى CAPTCHA مزيف أو تحقق قائم على الصور يعمل كحاجز يمنع الماسحات الضوئية الآلية وأدوات الأمان من فحص بنية الهجوم، بينما يسمح للمستخدمين الحقيقيين بالمرور.
بمجرد اكتمال مرحلة التحقق، يُؤخذ المستخدم إلى صفحة تسجيل دخول مزيفة لمايكروسوفت مستضافة على نطاق غير تابع لمايكروسوفت، مما يؤدي في النهاية إلى سرقة أي بيانات اعتماد يتم إدخالها من قبل الضحايا.
استجابةً للاكتشافات، قامت Google بحظر جهود التصيد التي تستغل ميزة إشعارات البريد الإلكتروني ضمن تكامل تطبيقات Google Cloud، مضيفة أنها تتخذ خطوات إضافية لمنع المزيد من الإساءة.
كشفت تحليل Check Point أن الحملة استهدفت بشكل أساسي قطاعات التصنيع والتكنولوجيا والمالية والخدمات المهنية وتجارة التجزئة، على الرغم من أن قطاعات أخرى، بما في ذلك الإعلام والتعليم والرعاية الصحية والطاقة والحكومة والسفر والنقل، قد تم الإشارة إليها.
“تعتمد هذه القطاعات عادةً على الإشعارات الآلية والمستندات المشتركة وسير العمل القائم على الأذونات، مما يجعل التنبيهات ذات العلامة التجارية من Google مقنعة بشكل خاص،” أضافت. “تسلط هذه الحملة الضوء على كيفية إساءة استخدام المهاجمين لميزات الأتمتة الشرعية في السحابة وسير العمل لتوزيع التصيد على نطاق واسع دون التزوير التقليدي.”
رابط المصدر: هناتسلط هذه الحملة الضوء على أهمية تعزيز الأمن السيبراني في المؤسسات، خاصةً عند استخدام الخدمات السحابية. يجب على المنظمات اتخاذ خطوات استباقية لحماية نفسها من مثل هذه التهديدات.
