حملة تصيّد إلكتروني تستغل Google Sites: كيف تحمي نفسك من DKIM Replay Attack

هل تلقيت يومًا بريدًا إلكترونيًا يبدو وكأنه من Google يخبرك بطلب قانوني أو إشعار رسمي؟ لو حدث، فقد تكون على بُعد خطوة واحدة من الوقوع في فخ حملة تصيّد إلكتروني خطيرة وذكية تستغل أدوات Google نفسها لخداعك. في هذه الحملة، يستخدم الهاكرز مواقع منشأة عبر Google Sites وروابط تبدو آمنة تمامًا لتنفيذ واحدة من أكثر الهجمات تطورًا حتى الآن باستخدام ثغرة تُعرف باسم DKIM Replay Attack.  

الخطورة؟ أن هذه الرسائل تمرّ عبر جميع فلاتر الأمان وتصل إلى بريدك وكأنها من مصدر رسمي وموثوق مثل no-reply@google.com. في هذا المقال، سنكشف لك تفاصيل هذا الهجوم، كيف يعمل، ولماذا هو خطير جدًا، والأهم من ذلك: كيف تحمي نفسك بطرق عملية وفعّالة.

ما هو DKIM Replay Attack وكيف يتم استخدامه في هذه الحملة؟

ما هو DKIM؟

DKIM (DomainKeys Identified Mail) هو نظام يستخدم لتأكيد أن البريد الإلكتروني لم يتم تغييره أثناء الإرسال، ويوقّع الرسائل بتوقيع رقمي مرتبط بالدومين المرسل.

أين تقع الثغرة؟

المشكلة تكمن في أن التوقيع (DKIM Signature) يمكن إعادة استخدامه إذا تم الحصول عليه من بريد إلكتروني سابق موثوق. في هذا الهجوم، يستخدم القراصنة توقيع DKIM صالح لتمرير بريد مزوّر وكأنه حقيقي.

كيف يستخدمه الهاكرز؟

• يحصل الهاكر على توقيع DKIM قديم.
• يُرسِل بريدًا جديدًا لكن بنفس التوقيع.
• البريد يبدو موثوقًا لأنه يجتاز فلاتر الحماية مثل SPF، DMARC وDKIM.

كيف يتم تنفيذ الهجوم باستخدام Google Sites؟

1. الهاكرز ينشئون صفحة مزيفة على Google Sites
   تشبه صفحة Google Support أو Google Legal Request بدقة شديدة.
2. يرسلون الإيميل من no-reply@google.com
   عنوان يبدو رسميًا تمامًا ويجتاز كل فلاتر الأمان.
3. الإيميل يحتوي على رسالة تهديد قانوني
   مثل "لديك مذكرة قانونية تتطلب ردًا عاجلًا" أو "حسابك معرض للإغلاق".
4. الرابط داخل الإيميل يأخذك إلى Google Sites
   وعند فتح الصفحة، يُطلب منك تسجيل الدخول.
5. يتم سرقة بياناتك مباشرة
   لأن النموذج الموجود في الصفحة يرسل البيانات إلى الهاكر وليس إلى Google.

لماذا هذا الهجوم خطير جدًا؟

• الرسائل تبدو شرعية تمامًا
  تمر من خلال DKIM وSPF وDMARC.
• الروابط تنتهي بـ google.com
  مما يعطي ثقة زائفة للمستخدم.
• الصفحة مصممة داخل Google Sites
  يصعب التمييز بينها وبين الصفحات الحقيقية.

كيف تحمي نفسك من هذا النوع من التصيّد؟

إليك أبرز خطوات الحماية التي يجب اتخاذها فورًا:

• فعّل المصادقة الثنائية (2FA) لتأمين حسابك.
• استخدم مفاتيح الأمان (Passkeys) إن كانت متاحة.
• لا تدخل بيانات تسجيل الدخول من أي رابط في البريد الإلكتروني.
• تحقق دائمًا من رابط تسجيل الدخول: يجب أن يكون accounts.google.com.
• استخدم مدير كلمات مرور موثوق لتجنب ملء البيانات في صفحات مزيفة.

ماذا تفعل إذا وقعت في الفخ؟

• غيّر كلمة مرورك فورًا.
• فعّل تنبيهات تسجيل الدخول من أجهزة جديدة.
• راجع سجل الأنشطة في حسابك.
• أبلغ Google من خلال صفحة الإبلاغ عن تصيّد.

هل Google تستجيب لهذه الهجمات؟

نعم، Google بدأت في اتخاذ خطوات لمنع استخدام Google Sites في هذا النوع من التصيّد، لكنها لم تُغلق الثغرة بشكل كامل حتى الآن. لذلك، تبقى مسؤوليتك الشخصية في التأكد من الأمان الرقمي لديك في أعلى مستوى.

الختام: هل تعتقد أن بإمكانك كشف كل تصيّد؟

الهجمات الإلكترونية أصبحت أكثر ذكاءً من أي وقت مضى. ما تراه الآن كإيميل موثوق قد يكون البوابة لخسارة معلوماتك الشخصية وحساباتك. لذا، كن دائمًا متيقظًا، وشارك هذه المعلومات مع من يهمك أمرهم!

هل واجهت من قبل إيميلًا مشبوهًا كهذا؟ شاركنا تجربتك في التعليقات!
واشترك في نشرتنا البريدية لتصلك آخر نصائح الأمان الإلكتروني مباشرة!

مصادر موثوقة

• Google - كيفية التحقق من موثوقية الرسائل
• Google Safe Browsing
• Cybersecurity Insiders - DKIM Replay Attack