صفحة تسجيل الدخول الخاطئة لـ Gmail تسرق البيانات الاعتمادية

هجوم جديد من نوع الاحتيال على Gmail يخدع المستخدمين بإشعارات البريد الصوتي المزيفة ويسرق بيانات الدخول الخاصة بهم من خلال تعقيد خلق ببراعة عالية.

بدأت الحملة، التي تم تحديدها لأول مرة بواسطة أنوراغ، برسائل بريد إلكتروني متنكرة تحت اسم “إشعار صوتي جديد”. تبدو هذه الرسائل وكأنها قادمة من خدمات البريد الصوتي الموثوقة وتتضمن زر “الاستماع إلى البريد الصوتي”. عند النقر عليه، يتم توجيه الضحايا إلى سلسلة من المواقع الإلكترونية المخترقة.

المرحلة الأولى خاصة بالخداع، وهي مستضافة على منصة التسويق الشرعية لمايكروسوفت Dynamics (assets-eur.mkt.dynamics.com). يعطي استخدام هذه البنية التحتية الموثوقة المصداقية للهجوم ويساعده على الانزلاق خلال مرشحات الأمان البريد الإلكتروني العادية.

بعد ذلك، يتم إرسال المستخدمين إلى صفحة CAPTCHA على ‘horkyrown[.]com’، نطاق مُسجل في باكستان. يخلق CAPTCHA شعورًا زائفًا بالأمان بينما يكون جزءًا من الإعداد الخبيث. الخطوة النهائية تظهر نسخة لا تشوبها شائبة من صفحة تسجيل الدخول إلى Gmail، كاملة مع العلامة التجارية لجوجل.

بمجرد أن يقوم المستخدمون بإدخال معلوماتهم، يلتقط النظام ليس فقط البريد الإلكتروني وكلمات المرور، بل أيضًا رموز التحقق ثنائية العامل، ورموز استعادة النسخ الاحتياطية، وحتى الأجوبة على الأسئلة الأمنية. يتم تهريب البيانات إلى خوادم في الخارج قبل أن يدرك الضحايا أنهم تعرضوا للاختراق.

لوحظ أنوراغ أن “الجافا سكريبت الخبيثة التي تشغل صفحة تسجيل الدخول المزيفة تستخدم طرق التضليل المتطورة.” يستخدم الكود تشفير AES لإخفاء غرضه ويحتوي على أدوات مضادة للتصحيح تعيد توجيه المستخدمين إلى صفحة تسجيل الدخول الحقيقية لجوجل إذا حاولوا فحصها..

تُحذّر الخبراء في هذا الرابط أن هذه الحملة تمثل “تطورًا كبيرًا في تقنيات التصيد الاحتيالي، حيث تجمع بين الهندسة الاجتماعية وسوء استخدام البنية التحتية الشرعية وطرق التهرب التقنية المتقدمة”.

يُنصح مستخدمو Gmail بتوخي الحذر من إشعارات البريد الصوتي غير المتوقعة والتحقق دائمًا من مطالبات تسجيل الدخول من خلال القنوات الرسمية لـ Google. يجب على الأشخاص الذين يشتبهون في أنهم تعرضوا للهدف أن يغيروا كلمات المرور الخاصة بهم فورًا ويراجعوا النشاط الأخير في الحساب.