تحذير من هجوم متطور يستهدف جميع حسابات "جي ميل"
حذرت شركة جوجل صاحبة خدمة الجي ميل مستخدمي الخدمة الذي يتجاوزون عددهم 1.8 مليار مستخدم حول العالم من رسالة بريد إلكتروني احتيالية خطيرة يجب حذفها فورا كما جاء في صحيفة الديلي ميل البريطانية.
وصنفت الشركة هذه المحاولة الاحتيالية على أنها هجوم البريد الإلكتروني من دون رد (no-reply email attack) حيث يتلقى الضحايا رسالة توحي بأنها رسمية مرسلة من العنوان no-reply@accounts.google.com.
وتتضمن الرسالة إشعارا زائفا يفيد بأن جوجل تلقت أمر استدعاء قضائي من جهات إنفاذ القانون يلزمها بتسليم جميع محتويات حساب المستخدم كما تحتوي الرسالة على رابط إلى صفحة دعم تبدو رسمية تابعة لجوجل ويزعم أنها تتضمن جميع التفاصيل المتعلقة بالقضية القانونية المزعومة ضد المستخدم.
وأوضح مسؤولو جوجل أن هذه الرسالة مزيفة بالكامل وهي من صنع محتالين عبر الإنترنت يهدفون إلى الوصول إلى المعلومات الشخصية للمستخدمين.
ويبدأ الهجوم بمجرد أن يقوم المستخدم بالنقر على الرابط المرفق وتحميل مستندات قانونية زائفة أو منح أذونات لمشاهدتها وبمجرد تنفيذ هذا الإجراء يتمكن المحتالين من الوصول إلى حسابه في جوجل دون علمه بما في ذلك قراءة الرسائل الإلكترونية أو تصفح الملفات المخزنة.
وفي بعض الحالات يؤدي تحميل الملفات المزيفة إلى إصابة جهاز المستخدم ببرمجيات خبيثة (malware) وهي برامج ضارة قادرة على سرقة المزيد من المعلومات الحساسة مثل كلمات المرور وبيانات الحسابات المصرفية.
ووضح “نك جونسون” وهو مطور تقني بارز سبق له العمل لدى جوجل فإن المحتالين يستغلون في هذا الهجوم أدوات شرعية ضمن أنظمة جوجل نفسها.
ويعتمد الهجوم على أداة تعرف باسم Google OAuth والتي تتيح لتطبيقات الطرف الثالث الوصول إلى حسابات جوجل بعد الحصول على إذن المستخدم.
وكشف “نك جونسون” أيضا بأن المحتالون يقومون بإنشاء عنوان ويب مزيف يبدو شبيها بعناوين جوجل الرسمية ثم ينشئون حساب بريد إلكتروني مرتبطا به ويسجلون تطبيقا مزيفا لدى جوجل.
ويبدأ التطبيق بإرسال إشعارات عبر البريد الإلكتروني تبدو وكأنها رسمية لأنها تمر عبر أنظمة جوجل إلا أنها في الحقيقة تعاد توجيهها إلى الضحايا عبر خدمة إخفاء تستخدم لتضليل المستخدمين.
وتتضمن هذه الرسائل الاحتيالية رابطا يؤدي إلى صفحة دعم مزيفة مستضافة على موقع جوجل الرسمي (sites.google.com) ما يمنحها طابعا موثوقا في نظر كثير من المستخدمين.
وعند النقر على الرابط يتم توجيه المستخدم إلى صفحة تسجيل دخول تبدو مشابهة لتلك الخاصة بجوجل ثم يتم نقله إلى صفحة أخرى مزيفة تحاكي واجهة الدعم الرسمية وتخدعه ليمنح الأذونات لتطبيق المحتال.
ومن خلال تحميل أو الموافقة على الاطلاع على أمر الاستدعاء المزيف يمنح المستخدم للمحتال حق الوصول إلى حسابه مما يسمح له بقراءة الرسائل الإلكترونية والاطلاع على الملفات الخاصة.
وتختلف البيانات التي يمكن سرقتها بناءً على ما ينقر عليه الضحية أو ما يقوم بتحميله من محتوى.
وفي أسوأ السيناريوهات يمكن أن يؤدي تثبيت البرامج الخبيثة على الجهاز إلى فتح باب واسع أمام المجرمين الإلكترونيين يمكنهم من سرقة كلمات المرور والوصول إلى السجلات المالية في التطبيقات البنكية بل والسيطرة الكاملة على الجهاز عن بعد من خلال قفل المستخدم خارجه.
وأخيرا حثت جوجل المستخدمين على مراجعة إعدادات الأمان في حساباتهم وإزالة ميزة التحقق بخطوتين (two-factor authentication) الشائعة واستبدالها بمفاتيح المرور (passkeys).
وتعد مفاتيح المرور تقنية حديثة لا تعتمد على كلمات السر وتتميز بمقاومتها لمحاولات التصيد الاحتيالي إذ تعتمد على مفاتيح تشفير يتم تخزينها على أجهزة المستخدم وتفعل من خلال المصادقة البيومترية مثل بصمة الإصبع أو مسح الوجه أو إدخال رقم تعريفي شخصي (PIN).
وقد أشارت شركات تكنولوجية كبرى مثل مايكروسوفت إلى أن مفاتيح المرور باتت أكثر أمانًا من أنظمة التحقق بخطوتين والتي تعتمد عادة على إرسال رمز مؤقت إلى الهاتف أو البريد الإلكتروني عند تسجيل الدخول.
