الهجوم بدأ بزرع رسائل مخادعة في حساب بريد إلكتروني واحد ومن ثم أُرسلت آلياً إلى المسجلين في قائمة الاتصالات الموجودة بهذا الحساب. من المصدر

المصدر: القاهرة - الإمارات اليوم

التاريخ: 08 مايو 2017

«الاحتيال والتصيد» تخترق «جيميل».. وتربك «غوغل» يــومــين

لم يكن الهجوم الذي تعرض له الملايين من مستخدمي خدمة «جيميل» للبريد الإلكتروني، أخيراً، سوى واقعة دالة على المفارقات اللافتة في عالم تقنية المعلومات، فقد كشف سيناريو الهجوم بوضوح أن بإمكان «الأقدم والأضعف» في تقنية المعلومات أن «يضرب» الأحدث والأقوى، ويسبب له إرباكاً واضحاً، حيث تم هذا الهجوم واسع النطاق بواحد من أقدم أنواع الهجمات الإلكترونية وأسهلها في الاكتشاف والمواجهة والتطويق، ومع ذلك سبّب إزعاجاً وإرباكاً استمر يومين لشركة «غوغل» الأكبر في تقنية المعلومات والأكثر تطوراً وحداثة، وجعلها تلاحق هذا الهجوم البدائي بعدد كبير من الفرق التقنية المتخصصة في أمن المعلومات لإعادة الطمأنينة لمتعامليها ومستخدمي بريدها الإلكتروني «جيميل».

الهجوم اعتمد على ملف ملحق برسالة يطلب دخول خدمة «غوغل دوكس»

«غوغل» أصدرت تحديثاً أمنياً لـ «جيميل»عقب الهجوم لحماية المستخدمين

فئة قديمة

وأوضحت التقارير الصادرة عن «غوغل» بشأن الهجوم الأخير وتداعياته، بأنه ينتمي إلى فئة قديمة من الهجمات والتهديدات الأمنية، وهي فئة «الاحتيال والتصيد»، التي تقوم فكرتها على إرسال رسالة إلى مستخدم البريد الإلكتروني، يقدم خلالها المهاجم إغراءات أو حيلة ما، كالوصول إلى خدمة معينة على الـ«ويب»، أو ملف مهم مؤمّن بعث به صديق يعرفه، أو تطبيق يتم تثبيته لتقديم فائدة ما، وتطلب الرسالة الضغط على رابط معين موجود بها أو فتح ملف مرفق. وأضافت التقارير أنه في إطار عملية الخداع والاحتيال، تطلب الرسالة بصورة تبدو عرضية وغير مثيرة للشك أن يكتب المستخدم كلمة المرور واسم المستخدم الخاص به في صفحة أو واجهة تطلب ذلك، ليحصل على المزايا أو الإغراءات التي تتضمنها الرسالة، وبمجرد كتابة كلمة المرور واسم المستخدم يكون المهاجم قد أصبح له حق الدخول على حسابه الإلكتروني وقراءة كل مراسلاته وأخذ نسخة من قائمة اتصالاته وأصدقائه، بما في ذلك من معلومات شخصية أو حساسة، وعادة ما تتركز مهارة المهاجم في اختيار فكرة أو سياق يبدو مألوفاً وجديراً بالثقة وجاذباً للضحية.

رسائل مخادعة

وبينت تقارير «غوغل» أن وقائع الهجوم، الذي تم الأربعاء والخميس الماضيين، بدأت بسيطرة المهاجمين بطريقة أو بأخرى على حساب بريد إلكتروني واحد فقط لأحد المستخدمين، وزرعوا به الرسائل المخادعة التي قامت بإرسال نفسها لجميع المستخدمين المسجلين في قائمة الاتصالات الموجودة بهذا الحساب، سواء كانوا أصدقاءه أو زملاءه في العمل أو عائلته أو خلافه، بحيث تصل هذه الرسائل إلى هؤلاء المستخدمين باعتبارها رسائل موثوقاً بها وصلت إليهم من شخص يعرفونه، وجرت معه مراسلات من قبل.

ووفقاً للتقارير فإن الرسالة المخادعة كانت عبارة عن نص قصير يشير إلى أن صاحب الحساب، الذي تمت السيطرة عليه، يرسل لهم ملفاً مخزناً على خدمة «وثائق غوغل» (غوغل دوكس)، ويظهر كملف ملحق مع الرسالة بامتداد docs، ويطلب منهم مشاركته وفتحه والاطلاع عليه، حيث كانت هذه هي الخدعة التمهيدية في عملية الاحتيال، ومن ثم كل من وصلته الرسالة وظن الأمر طبيعياً ضغط على الملف المرفق لفتحه، وهنا وجد نفسه أمام الخدعة الثانية، وهي ظهور شاشة أو لوحة مطابقة تماماً للشاشة التي تظهر عند الدخول إلى خدمة «غوغل دوكس»، وذلك إمعاناً في التمويه حتى يصبح الأمر طبيعياً. وأشارت التقارير إلى أن في هذه اللحظة يظهر المهاجم الخدعة الرئيسة في هذا السيناريو كله، وهي بروز حقل صغير داخل شاشة «غوغل دوكس» المزيفة، يطلب كتابة اسم المستخدم وكلمة مرور حساب «جيميل» الخاصين بالمستخدم حتى يتمكن من الدخول إلى الملف على «غوغل دوكس».

وطبقاً لتسلسل الخداع، ظن الكثير من المستخدمين أن هذا إجراء طبيعي لاستكمال عملية الوصول إلى الملف، فيما نسي آخرون أن «غوغل دوكس» لا تطلب أصلاً كلمة مرور واسم مستخدم في هذه الحالات، لأن صاحب الملف يكون قد سمح «منطقياً» بالاطلاع عليه بمجرد تضمين رابط الملف في الرسالة.

برنامج خبيث

وأكدت تقارير «غوغل» أنه هكذا اعتمد المهاجمون على الغفلة والتأثير النفسي للخداع الذي تم في الخطوتين الأولى والثانية، بحيث ما إن كتب «الضحايا» أسماء المستخدمين وكلمات المرور الخاصة بهم في هذين الحقلين، حتى التقطهما المهاجمون، ومن ثم أصبحت حسابات البريد الإلكتروني لـ«الضحايا» الجدد تحت سيطرتهم، مبينة أن البرنامج الخبيث الذي ضمنوه في الرسالة الأصلية، كرر الفعل نفسه آلياً مع المستخدمين المسجلين في قوائم الاتصالات الخاصة بالضحايا الجدد، وهكذا تضاعف عدد الضحايا بصورة مذهلة خلال وقت قصير، فمثلاً لو كان عدد «ضحايا» الرسالة الأولى، الصادرة من أول حساب مصاب، 10 «ضحايا»، فإن عدد «ضحايا» الرسالة الثانية سيكون هذا العدد مضروباً في نفسه على أقل تقدير، أي يصبح 100 «ضحية»، وبالوتيرة نفسها سيرتفع إلى 10 آلاف في الرسالة الثالثة، ثم 100 ألف ثم 10 ملايين، وهكذا، وفي هذه العملية تتراكم لدى المهاجم كلمات المرور وأسماء المستخدمين بالملايين خلال وقت قصير ليعبث بها كما يريد. ولفت التقرير إلى أن هذا الأمر يفسر سر وصول الإصابة إلى عشرات الملايين خلال يومين فقط، كما يفسر الانزعاج الشديد الذي أصاب «غوغل» من وراء انتشاره على هذا النحو، الأمر الذي جعلها تصدر سلسلة تنبيهات وبيانات تطلب من المستخدمين توخي الحذر، وإلغاء أي رسائل يظهر بها ملف ملحق يطلب الدخول إلى خدمة «غوغل دوكس»، وفي الوقت نفسه كلفت فرق متعددة من خبرائها الأمنيين بتعقب وتتبع مصدر هذه الرسائل، والوصول إلى الصفحات الزائفة المستخدمة فيها وإزالتها. وطبقاً لمستوى التطور الذي حدث في هجمات وتهديدات أمن المعلومات عبر الإنترنت، يعد هذا السيناريو بدائياً ومتقادماً وسهل الكشف والتطويق والمكافحة، ومع ذلك أجبر «غوغل» على رفع حالة الطوارئ القصوى، حتى أول من أمس، حينما بدأت التقارير تشير إلى انحسار موجة الهجوم والإصابة، وعدم سقوط ضحايا جدد، بعد إزالة الصفحات الزائفة والرسائل الاحتيالية من خدمة «جيميل».

رسالة تحذير

وجاء رد فعل «غوغل» بعد ساعات قليلة من الهجوم، حيث بدأ برسالة تحذير على المدونة الرسمية الخاصة بها، وعقب ذلك بساعات، أصدرت «غوغل» تحديثاً رسمياً لتطبيق «جيميل» لحماية المستخدمين من هذه الهجمة، إذ تضمن التحديث خاصية أمنية تخبر المستخدم وتنبهه حين يتلقى بريداً إلكترونياً به رابط تم إثبات أنه مقرصن أو مشتبه في كونه كذلك. ويقول هذا التحذير: «الموقع الذي تحاول زيارته يهدف إلى خداعك حتى تكشف له عن معلوماتك المالية أو الشخصية أو أي معلومات حساسة أخرى».

الأكثر مشاركة