التصيّد الاحتيالي باستخدام Google Apps Script

يستخدم المحتالون عمليات إعادة التوجيه من خلال Google Apps Script لمنع خوادم البريد من حظر روابط التصيد الاحتيالي.

لسرقة بيانات اعتماد البريد الإلكتروني الخاص بالشركة من موظفي الشركة، يجب على المهاجمين أولًا تجاوز حلول مكافحة التصيد الاحتيالي على خوادم البريد الإلكتروني الخاصة بالشركة. كقاعدة عامة، فإنهم يستخدمون خدمات الويب المشروعة لتجنب الملاحظة، وهذا يعني بشكل متزايد Google Apps Script، وهي منصة للبرمجة النصية تستند إلى JavaScript.

ما هي Apps Script وكيف يستخدمها المهاجمون؟

Apps Script عبارة عن منصة تستند إلى JavaScript لأتمتة المهام داخل منتجات Google (على سبيل المثال، إنشاء الوظائف الإضافية من أجل Google Docs) وكذلك في تطبيقات الجهات الخارجية. بشكل أساسي، هي خدمة لإنشاء البرامج النصية وتشغيلها في البنية التحتية لـGoogle.

في التصيد الاحتيالي عبر البريد الإلكتروني، يستخدم المهاجمون الخدمة لعمليات إعادة التوجيه. بدلاً من إدخال عنوان URL لموقع ويب ضار مباشرةً في الرسالة، يمكن للمجرمين الإلكترونيين زرع رابط إلى برنامج نصي. وبهذه الطريقة، يمكنهم تجاوز حلول مكافحة التصيد على مستوى خادم البريد: يمر الارتباط التشعبي الذي يؤدي إلى موقع Google شرعي يتمتع بسمعة طيبة عبر معظم المرشحات. كميزة إضافية للمجرمين الإلكترونيين، يمكن لمواقع التصيد الاحتيالي غير المكتشفة البقاء لفترة أطول. يمنح هذا المخطط أيضًا المهاجمين المرونة لتغيير البرنامج النصي إذا لزم الأمر (في حالة اشتهار حلول الأمان)، وتجربة تسليم المحتوى (على سبيل المثال، إرسال الضحايا إلى إصدارات مختلفة من الموقع اعتمادًا على منطقتهم).

مثال على عملية احتيال باستخدام Google Apps Script

كل ما يتعين على المهاجمين فعله هو حث المستخدم على النقر على رابط. في الآونة الأخيرة، كانت الذريعة الأكثر شيوعًا هي “صندوق البريد الممتلئ.” من الناحية النظرية، يبدو ذلك معقولًا.

بريد إلكتروني نموذجي للتصيد الاحتيالي يستخدم عملية احتيال صندوق البريد الممتلئ

من الناحية العملية، عادةً ما يكون المهاجمون مهملين ويتركون علامات الاحتيال التي ينبغي أن تكون واضحة حتى للمستخدمين الذين ليسوا على دراية بالإشعارات الحقيقية:

  • يبدو أن البريد الإلكتروني من Microsoft Outlook، لكن عنوان البريد الإلكتروني الخاص بالمرسل له مجال خارجي. يجب أن يأتي الإشعار الحقيقي بشأن صندوق البريد الممتلئ من خادم Exchange الداخلي. (علامة إضافية: اسم المرسل، Microsoft Outlook، يفتقد مسافة ويستخدم صفرًا بدلًا من الحرف O.)
  • يؤدي الرابط، الذي يظهر عند تمرير المؤشر فوق “Fix this in storage settings،” إلى موقع Google Apps Script:

رابط البريد الإلكتروني إلى Google Apps Script

  • لا تتجاوز صناديق البريد حدودها فجأة. يبدأ Outlook في تحذير المستخدمين من نفاد المساحة قبل وقت طويل من وصولهم إلى الحد الأقصى. قد يعني تجاوزه فجأة بمقدار 850 ميغابايت تلقي هذا العدد الكبير من الرسائل غير المرغوب فيها دفعة واحدة، وهو أمر مستبعد للغاية.

على أي حال، إليك مثالًا على إشعار شرعي من Outlook:

إ شعار شرعي بخصوص صندوق بريد ممتلئ تقريبًا

  • يعمل رابط “Fix this in storage settings” على إعادة التوجيه إلى موقع التصيد الاحتيالي. على الرغم من أنها في هذه الحالة نسخة مقنعة إلى حد ما من صفحة تسجيل الدخول من واجهة الويب الخاصة بـOutlook، فإن إلقاء نظرة على شريط عنوان المتصفح يكشف أن الصفحة مستضافة على موقع ويب مزيف، وليس في البنية التحتية للشركة.

 كيفية تجنب التقاط الطعم

تُظهر التجربة أن رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي لا يجب بالضرورة أن تحتوي على روابط تصيد احتيالي. لذلك، يجب أن تتضمن الحماية الموثوقة للشركات قدرات مكافحة التصيد الاحتيالي على كل من  مستوى خادم البريد   و على أجهزة كمبيوتر المستخدمين .

بالإضافة إلى ذلك، يجب أن تشمل الحماية المسؤولة  تدريب توعية للموظفين   مستمرًا يغطي التهديدات الإلكترونية الحالية وعمليات التصيد الاحتيالي.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!