استخدم المهاجمون أسلوبًا معقدًا في الهجوم لسرقة بيانات المستخدمين عبر استغلال بنية جوجل التحتية، حيث تم إرسال رسائل بريد إلكتروني مزيفة تبدو وكأنها صادرة من جوجل نفسها، وتمكن المهاجمون من التلاعب بها لتوجيه الضحايا إلى مواقع مزيفة لسرقة بيانات الدخول الخاصة بهم.

كيف يعمل الهجوم؟

بدأ الهجوم برسالة بريد إلكتروني من[email protected] التي بدت صحيحة تمامًا، حيث اجتازت جميع اختبارات التوثيق مثل توقيع DKIM، مما جعلها تبدو وكأنها رسالة آمنة من جوجل، وتضمنت الرسالة إخطارًا بشأن استدعاء من جهة قانونية، وطلب من الضحية النقر على رابط يتم استضافته على sites.google.com.

عند النقر على الرابط يوجه المستخدم إلى صفحة مزيفة تشبه صفحة الدعم الرسمية لجوجل، ولكنها في الواقع صفحة مزورة مصممة باستخدام أداة Google Sites التي لا تحتوي على حماية أمان قوية، مما يجعلها منصة مثالية لإنشاء صفحات لسرقة بيانات الدخول.

آلية استغلال DKIM

في هذا الهجوم استخدم المهاجمون إعادة توقيع DKIM حيث قاموا أولًا بإنشاء حساب جوجل جديد مع نطاق مثل "me@" ثم قاموا بإنشاء تطبيق OAuth من جوجل يحتوي على محتوى الرسالة المزعومة، وهذه العملية تنتج رسالة تنبيه أمني يتم إرسالها من جوجل، موقعة بتوقيع DKIM صالح.

ثم قام المهاجمون بإعادة إرسال الرسالة باستخدام نطاق غير مرتبط مع الحفاظ على توقيع DKIM ليتم تمريرها عبر خدمةSMTP مخصصة، وبالتالي وصول الرسالة إلى بريد الضحية متجاوزة جميع فلاتر الأمان المعتمدة مثل SPF وDKIM وDMARC.

مخاطر الهجوم وآثاره

نظرًا لهذه التقنية المتقدمة تبدو الرسالة وكأنها رسمية وآمنة، ولا يتم تحذير المستخدم في جيميل، كما أن المهاجمين استخدموا أسلوبًا ذكيًا بإظهار كلمة "me" في أعلى الرسالة لتجنب الشكوك، مما يجعل الرسالة تبدو وكأنها موجهة إلى عنوان البريد الإلكتروني للمستخدم.

في الصفحة المزيفة على Google Sites يطلب من المستخدمين تسجيل الدخول باستخدام بيانات اعتمادهم الخاصة بجوجل، ليتم بعدها سرقة بياناتهم.

رد جوجل وتوصياتها

أعلنت جوجل أنها على دراية بهذا الهجوم وقامت بتطبيق حماية لمنع هذه الأنماط من الهجمات، وأكدت أن جوجل لا تطلب أبدًا من المستخدمين تقديم معلومات حساسة مثل كلمات المرور أو الأكواد لمرة واحدة عبر البريد الإلكتروني، كما أوصت جوجل المستخدمين بتفعيل المصادقة الثنائية و رموز المرور كإجراءات إضافية لتعزيز الأمان ضد هذه الأنواع من الهجمات.