كشفت شركة Guardio المتخصصة في الأمن السيبراني عن حملة تصيد احتيالي واسعة النطاق استهدفت مالكي حسابات Facebook وصفحات الأعمال؛ حيث انتهت العمليات باختراق نحو 30 ألف حساب عبر استغلال ذكي لمنصات موثوقة.
اعتمد المهاجمون على خدمة Google AppSheet، وهي منصة تسمح بإنشاء تطبيقات وبرمجيات بسيطة دون الحاجة لكتابة كود معقد، لإرسال رسائل بريدية من العنوان الرسمي [email protected]. وقد ساعد هذا الأسلوب الرسائل في تجاوز فلاتر الحماية وتطبيقات تصفية البريد الإلكتروني، نظراً لصدورها من نطاق شرعي يتبع شركة Google.
ركزت العملية بشكل مباشر على مستخدمي Facebook Business من خلال إرسال رسائل تدعي صدورها عن فريق دعم شركة Meta، وتتضمن تحذيرات من مخالفات سياسات النشر أو احتمال تعطيل الحساب بشكل نهائي في حال عدم تقديم اعتراض فوري.
واعتمد المهاجمون على خلق حالة من الاستعجال والقلق لدى الضحايا لدفعهم نحو الضغط على روابط تقود إلى صفحات مزيفة مصممة بدقة لالتقاط بيانات الدخول والمعلومات الحساسة، مستغلين رغبة أصحاب الأعمال في حماية صفحاتهم التجارية من الإغلاق.
آليات تسريب البيانات عبر البنية التحتية السحابية
رصدت التحقيقات الأمنية أربع مجموعات رئيسية تنشط ضمن هذا المخطط؛ حيث استخدمت المجموعة الأولى صفحات مزيفة مستضافة على منصة Netlify تحاكي مركز المساعدة الرسمي في Facebook. وطالبت هذه المجموعة الضحايا بتزويدها بكلمات المرور وتواريخ الميلاد وصور الهوية الرسمية، بغرض تجاوز خطوات التحقق اللاحقة أو انتحال الشخصية بشكل كامل.
استغلت المجموعة الثانية منصة Vercel لإنشاء صفحات تحت مسميات مثل Security Check، ونجحت في جمع رموز التحقق الثنائي (2FA) التي تمثل طبقة أمان إضافية تطلبها المواقع عند الدخول؛ وبذلك تمكن المخترقون من الوصول للحسابات في اللحظة ذاتها التي يدخل فيها المستخدم بياناته.
اتبعت المجموعتان الثالثة والرابعة أساليب تضليلية أخرى، شملت استخدام ملفات PDF مخزنة على Google Drive تقود لصفحات تصيد متقدمة، أو نشر عروض توظيف وهمية تنتحل صفة شركات تقنية كبرى مثل Apple وAdobe وWhatsApp. واستهدفت هذه العروض استدراج الضحايا لمواصلة التواصل عبر قنوات مهنية لإضفاء صبغة الواقعية على الخداع.
شكلت قنوات Telegram العمود الفقري للبنية التشغيلية للحملة؛ حيث استُخدمت لاستقبال بيانات الضحايا المسربة لحظة بلحظة. وسجلت Guardio وجود نحو 30 ألف سجل لضحايا من دول مختلفة، شملت الولايات المتحدة، وإيطاليا، وكندا، والهند، والبرازيل، والمكسيك، ودولاً أخرى؛ حيث أبلغ المتضررون عن خسائر مالية نتيجة استخدام بطاقات الدفع المرتبطة بحساباتهم الإعلانية، فضلاً عن تعطل أعمالهم التجارية.
التحليل الفني والجهات المسؤولة عن الحملة
أظهر التحليل التقني أن الرسائل الاحتيالية مرت عبر البنية التحتية لخدمة Google AppSheet مع توافق تام مع بروتوكولات التحقق العالمية مثل SPF وDKIM وDMARC. وقد منح هذا التوافق الرسائل مظهراً نظامياً أمام أدوات الفحص، بالتزامن مع تحول في الأساليب البرمجية من تنفيذ العمليات عبر متصفح المستخدم إلى استخدام وظائف خادمية (Server-side functions) على منصة Netlify، وهو إجراء صعّب عملية تتبع مسار تسريب البيانات وفهمها من الخارج.
وفيما يتعلق بهوية المنفذين، تشير المؤشرات الأولية الواردة في تقرير Guardio إلى احتمالية وقوف جهة مرتبطة بفيتنام خلف هذه العمليات؛ نظراً لظهور أسماء فيتنامية في البيانات الوصفية لملفات PDF، ووجود تعليقات برمجية باللغة الفيتنامية في الأكواد المستخدمة. كما عزز العثور على موقع يعرض خدمات استعادة الوصول إلى الحسابات المخترقة فرضية وجود منظومة متكاملة تهدف للاختراق، ثم بيع الوصول أو الخدمات المرتبطة به لاحقاً.
وصفت الشركة الحملة بأنها عملية منظمة ومستمرة تستخدم لوحات تشغيل آنية ووسائل مراوغة متطورة، حيث تعتمد استراتيجيتها الأساسية على استغلال ثقة المستخدمين والأنظمة في المنصات السحابية الكبرى لتحقيق أهدافها الإجرامية.
