لاحظت سيسكو تالوس Cisco Talos مؤخرًا زيادة في رسائل البريد العشوائي التي تسيء استخدام إحدى ميزات الاختبارات التي تم إنشاؤها داخل نماذج جوجل. على وجه الخصوص، اكتشف مرسلو البريد العشوائي أنه يمكنهم إنشاء اختبار جديد في نماذج جوجل جوجل، واستخدام عنوان البريد الإلكتروني للضحية للرد على الاختبار، ثم إساءة استخدام ميزة "إصدار النتائج" في نموذج جوجل لتسليم رسائلهم غير المرغوب فيها إلى الضحية. نظرًا لأن الرسائل غير المرغوب فيها تنبع من جوجل نفسها، فإن الرسائل تتمتع بفرصة جيدة للوصول إلى البريد الوارد للضحية.

في نماذج جوجل جوجل، عند إنشاء نموذج جديد، يمكن للمؤلف اختيار "جعل هذا اختبارًا". يؤدي اختيار إصدار الدرجات "لاحقًا، بعد المراجعة اليدوية"، إلى فرض جمع عناوين البريد الإلكتروني في الاختبار.

في مكان آخر، ضمن إعدادات الردود، يسمح اختيار "إدخال المستجيب" لمرسلي البريد العشوائي بملء النموذج الخاص بهم باستخدام عنوان البريد الإلكتروني لأي ضحية.

بمجرد تكوين النموذج بهذه الطريقة، يمكن لمرسل البريد العشوائي الحصول على رابط للنموذج والوصول إليه. يقوم مرسل البريد العشوائي بعد ذلك بملء النموذج باستخدام عنوان البريد الإلكتروني للضحية وإرساله. لا يهم ما إذا كان السؤال في الاختبار قد تمت الإجابة عليه. وبعد ذلك، يمكن الاطلاع على ردود الاختبار المزيفة التي أنشأها المهاجم.

سيؤدي النقر فوق مربع الحوار "إصدار النتائج" في الجزء العلوي الأيمن إلى مطالبة مالك النموذج "بإرسال رسائل البريد الإلكتروني وإصدار" النتائج. يمكن تخصيص الرسالة التي يتم تسليمها كجزء من البريد الإلكتروني لتشمل أي نص أو عنوان URL، وبعد ذلك سيتم تسليم الرسالة بواسطة جوجل باستخدام عنوان "من:" لحساب جوجل الذي أنشأ الاختبار. ونظرًا لأن رسائل البريد الإلكتروني التي يتم إنشاؤها باستخدام هذه التقنية تنبثق من خوادم جوجل، فإن هناك فرصة جيدة لتسليمها إلى البريد الوارد للضحية.

يتم استخدام البريد العشوائي في اختبار نماذج جوجل في عملية احتيال متقنة للعملات المشفرة
يظهر أدناه مثال حديث لإحدى هجمات البريد العشوائي التي تم إطلاقها نتيجة اختبار نماذج جوجل.

عندما ينقر الضحية على زر "عرض" في رسالة البريد الإلكتروني هذه، يتم توجيهه إلى نموذج الرد المزيف الذي أنشأه مرسلي البريد العشوائي.

يؤدي النقر فوق "عرض" في "النتائج التي تم إصدارها:" إلى توجيه البريد العشوائي الضحية إلى استجابة النموذج التي أنشأها مرسلي البريد العشوائي.
في هذا الرد على النموذج المحدد، قدم مرسل البريد العشوائي رابطًا ">>> اذهب إلى الموقع" والذي يشير إلى نموذج Google آخر يطلب من الضحية تأكيد عنوان بريده الإلكتروني. في هذه المرحلة من الهجوم، عند إدخال عنوان بريد إلكتروني في النموذج الثاني، يتم تزويد الضحية بنموذج استجابة يحتوي على رابط إلى موقع ويب خارجي: go-procoinwhu[.]top.

بعد أن "يؤكد" الضحية عنوان بريده الإلكتروني، يتم تقديم رابط إلى موقع ويب خاص بطرف ثالث.
تم إنشاء النطاق go-procoinwhu[.]top للتو في 28 أكتوبر 2023، ولكنه يشهد بالفعل زيادة كبيرة في عدد استعلامات DNS التي تطلبه.

يؤدي النقر فوق الرابط go-procoinwhu[.]top في استجابة نموذج Google إلى إعادة توجيه 302 من Cloudflare، والذي يوجه الضحية إلى https://hdlgr[.]dudicyqehama[.]top/، والذي تستضيفه Cloudflare أيضًا. تم أيضًا إنشاء هذا المجال مؤخرًا (25 أكتوبر 2023)، ويعرض نمطًا مشابهًا جدًا لحركة مرور DNS في Umbrella Investigate.

عندما ينتقل الضحية إلى موقع dudicyqehama.top، يتم تقديمه إلى موقع ويب احتيالي متقن يدعي أن الضحية يمتلك أكثر من 1.3 بيتكوين في حسابه نتيجة "التعدين السحابي التلقائي للبيتكوين"، والذي يدعي الموقع أنه يستحق أكثر من 46000 دولار أمريكي.

بمجرد أن ينقر الضحية على "متابعة"، يتم نقله إلى "صفحة تسجيل الدخول" بالموقع الرئيسي. يتم ملء اسم المستخدم وكلمة المرور مسبقًا في نموذج تسجيل الدخول، لذلك يحتاج الضحية فقط إلى النقر فوق الزر "تسجيل الدخول".

نموذج تسجيل دخول مزيف لموقع المحتال. يتم تعبئة اسم المستخدم/كلمة المرور مسبقًا في النموذج.
بمجرد تسجيل الدخول، فمن الواضح أن الموقع يبذل قصارى جهده ليبدو شرعيًا. يتضمن الموقع أيضًا ميزة الدردشة الجماعية بالقرب من الجزء السفلي حيث يمكنك رؤية العديد من المستخدمين الآخرين يناقشون موضوعات متعلقة بالعملات المشفرة. كمستخدم مسجل الدخول، يمكن للضحية حتى التعليق. عند مشاهدة النص أثناء التمرير في الدردشة، يصبح من الواضح أنهم يعيدون نفس التعليقات مرارًا وتكرارًا، وأن هؤلاء ليسوا مستخدمين حقيقيين.

عندما تحاول الضحية المطالبة بعملة البيتكوين الخاصة بها من الموقع الرئيسي، تتم إعادة توجيهها إلى ما يشبه الدردشة المباشرة مع وكيل يُدعى "صوفيا". تتحدث صوفيا مع الضحية للحظة قبل إرسال نموذج لملئه لجمع البيتكوين.

ترسل صوفيا للضحية نموذجًا لملئه لجمع عملة البيتكوين الخاصة بها، والذي يطلب من الضحية ملء اسمه وعنوان بريده الإلكتروني وطريقة السحب التي يفضلها المستخدم.

يجب على الضحية ملء نموذج يوضح كيفية رغبته في تلقي الأموال من عملة بتكوين BTC التي قام باستبدالها بالدولار الأمريكي.
بمجرد ملء النموذج وإرساله، تتم إعادة توجيه الضحية مرة أخرى إلى الدردشة مع صوفيا، التي تشرع في إعطائه زرًا لبدء تحويل عملة BTC إلى الدولار الأمريكي.

يتم توجيه الضحية إلى أنه للمطالبة بمبلغ 48000 دولار أمريكي تقريبًا، يجب على الضحية دفع "رسوم صرف" بنسبة 0.25%، أو 64 دولارًا أمريكيًا.

عندما ينقر الضحية على "Exchange Bitcoin"، يتم تقديم نموذج أخير له حيث يُطلب من الضحية إدخال اسمه وبريده الإلكتروني ورقم هاتفه.

يؤدي النقر على "الدفع" إلى إظهار رمز الاستجابة السريعة لمحفظة BTC الخاصة بمرسلي البريد العشوائي. لحسن الحظ، لم يقع أحد ضحية عملية الاحتيال هذه ولم يدفع للمهاجمين، حيث كانت محفظة Bitcoin المتصلة فارغة اعتبارًا من 6 نوفمبر 2023.

إن حجم أعمال الإعداد اللازمة لتنفيذ هجوم البريد العشوائي مثل هذا، بالإضافة إلى الاهتمام الاستثنائي بالتفاصيل الموضوعة في الهندسة الاجتماعية لعملية احتيال العملة المشفرة اللاحقة، يوضح إلى أي مدى سيذهب مجرمون الإنترنت عندما يتعلق الأمر بفصل الضحايا حتى عن مجموعة صغيرة مبلغ من المال. كما هو الحال عادة مع عمليات الاحتيال مثل هذه، عندما يبدو شيء ما جيدًا لدرجة يصعب تصديقها، فهو غالبًا ما يكون كذلك.

المصدر: Cisco Talos Blog