حذّر نيك جونسون، كبير مطوري خدمة أسماء Ethereum (ENS)، مستخدمي العملات الرقمية من نوع جديد من عمليات الاحتيال الإلكتروني التي تستغل بنية جوجل التحتية. وفي منشور على منصة X، أوضح جونسون كيف يستغل المحتالون ثغرة أمنية في بنية جوجل التحتية.
بحسب جونسون ، يمكن للمحتالين إرسال رسائل بريد إلكتروني تبدو حقيقية تُعلم المستخدمين بأن جوجل قد تلقت أمر استدعاء لتقديم معلومات إلى حساباتهم على جوجل. هذا التنبيه الأمني، الذي يبدو حقيقياً تماماً، يطلب من المستخدم الاعتراض على أمر الاستدعاء أو الاطلاع على ملفات القضية.
قال:
"أول ما يجب ملاحظته هو أن هذه رسالة بريد إلكتروني صحيحة وموقعة - لقد تم إرسالها بالفعل من [email protected] . لقد اجتازت فحص توقيع DKIM، ويعرضها Gmail بدون أي تحذيرات - بل إنه يضعها في نفس المحادثة مع تنبيهات الأمان الأخرى المشروعة."
بمجرد أن ينقر المستخدمون على الرابط الموجود في البريد الإلكتروني، يُطلب منهم تسجيل الدخول إلى صفحة الدعم المزعومة. إلا أن عنوان URL الخاص ببوابة الدعم هو sites.google.com، وهي حيلة لخداع المستخدمين وإيهامهم بأنها صفحة دعم حقيقية. ووفقًا لجونسون، يُرجّح أن تكون صفحة الدعم المزيفة هذه موقعًا للتصيّد الاحتيالي، حيث يقوم المحتالون بسرقةdentتسجيل دخول المستخدمين.
أشار مطور نظام إدارة الشبكة (ENS) إلى أن الثغرة الأمنية ستظل قائمة على الأرجح، لا سيما مع رفض جوجل اتخاذ أي إجراء بشأنها. لذا، من المهم أن يكون المستخدمون على دراية بها وأن يحموا أنفسهم.
المحتالون يستغلون مواقع جوجل لإنشاء صفحات دعم مزيفة
في غضون ذلك، أوضح جونسون كيف قام المخترقون بإنشاء صفحات دعم مزيفة من جوجل تبدو حقيقية. ووفقًا له، فإن موقع sites.google.com هو منتج قديم من عملاق التكنولوجيا يسمح للمستخدمين باستضافة محتواهم على النطاق الفرعي Google.com.
وأشار إلى أن المنتج يسمح بالبرامج النصية والتضمينات، وهي الطريقة التي يتمكن بها المحتالون من إنشاء مواقع لجمعdentالاعتماد على النطاق الفرعي لـ Google وتحميل مواقع جديدة كلما قام فريق Google بإزالة الإصدارات القديمة.
قال جونسون:
"أدركت جوجل منذ زمن بعيد أن استضافة المحتوى العام الذي يحدده المستخدمون على موقع google.com فكرة سيئة، لكن مواقع جوجل استمرت في الوجود."
ومع ذلك، أشار إلى أن الحل الوحيد لهذه المشكلة هو أن تقوم جوجل بتعطيل البرامج النصية والتضمينات العشوائية لمواقع جوجل الخاصة بها، لأن هذا يجعل المنتج أداة تصيد قوية للمحتالين.
أبلغ جوجل عن هذا الخطأ
ومن المثير للاهتمام أن المحتالين يُنشئون رسائل البريد الإلكتروني المزيفة التي تدّعي أنها تنبيهات أمنية، وذلك باستغلال ثغرة في خدمة Gmail. وفي تحليله للرسالة، أشار جونسون إلى أدلة مثل عنوان البريد الإلكتروني الذي يُظهر أنه مُرسَل من "privateemail.com"، والمُستلِم "me@blah"، والمساحة البيضاء أسفل رسالة التصيّد الاحتيالي.
بحسب قوله، قام المحتالون بذلك عن طريق إنشاء حساب جوجل باسم Me@domain. بعد ذلك، أنشأوا تطبيق جوجل OAuth باستخدام النص الموجود في رسالة البريد الإلكتروني الاحتيالية، والمسافات الفارغة، وعبارة "الدعم القانوني لجوجل" كاسم للتطبيق.
بعد إتمام ذلك، منحوا تطبيق OAuth صلاحية الوصول إلى حسابهم على جوجل "me@…"، مما سمح لهم بإنشاء رسالة تنبيه أمني من جوجل إلى البريد الإلكتروني "me@". ثم قاموا بإعادة توجيه هذا التنبيه الأمني إلى جميع الجهات المستهدفة المحتملة.
بما أن جوجل هي من أنشأت رسالة البريد الإلكتروني الأصلية للتنبيه الأمني، فقد تم توقيعها بمفتاح DKIM صالح، وتجاوزت جميع عمليات التحقق الأمني، وظهرت كرسالة شرعية في صندوق الوارد الخاص بالمستخدم.
مع ذلك، قال جونسون إنه قدّم تقريرًا عن الخلل إلى جوجل، لكن عملاق التكنولوجيا قرر عدم معالجته. وبدلًا من ذلك، أغلق فريق أمن جوجل التقرير، مشيرًا إلى أن الميزة "تعمل كما هو مُصمم لها"، ما يعني أنهم لم يعتبروها خللًا.
في غضون ذلك، يُسلط تقريرٌ عن محتالين يستغلون ثغرات جوجل لسرقة معلومات المستخدمين الضوء على تهديداتٍ متعددة تواجه مستخدمي العملات الرقمية. قبل أيامٍ قليلة، ادعى خبراء الأمن أن قراصنةً يستخدمون برمجية InfoStealers الخبيثة لسرقة بياناتdentالمستخدمين من المتصفحات.
