سقوط 30 ألف حساب فيسبوك في فخ Google AppSheet: كواليس عملية AccountDumpling

مقدمة تحليلية

في تطور خطير يبرز نقاط الضعف الكامنة في منصات الـ (No-code) أو البرمجة بدون كود، كشف خبراء الأمن في شركة Guardio عن حملة تصيد كبرى أطلق عليها اسم كودي وهو AccountDumpling. هذه العملية، التي تقودها مجموعات مرتبطة بفيتنام، نجحت في اختراق أكثر من 30,000 حساب على منصة فيسبوك (Facebook) من خلال آلية تقنية معقدة تستغل ثقة المستخدمين والأنظمة الأمنية في خدمات جوجل السحابية. لم تكن هذه مجرد حملة تصيد تقليدية، بل هي دراسة حالة في كيفية تحويل الأدوات الإنتاجية المشروعة إلى أسلحة رقمية فتاكة تستهدف الهوية الرقمية للمستخدمين.

تكمن الخطورة الأساسية في هذه الهجمات في قدرتها على تجاوز مرشحات البريد العشوائي (Spam Filters) التقليدية، حيث يتم إرسال رسائل البريد الإلكتروني من نطاقات موثوقة تابعة لجوجل، مما يمنحها شرعية زائفة تجعل المستخدم الضحية أكثر استعداداً لإدخال بياناته الحساسة. إن التأثير المباشر لا يتوقف عند فقدان الحسابات فحسب، بل يمتد إلى سوق سوداء منظمة يتم فيها بيع هذه البيانات واستغلالها في حملات تضليل أو احتيال مالي واسع النطاق.

التحليل التقني

تعتمد عملية AccountDumpling على مفهوم يسمى (Phishing Relay) أو ترحيل التصيد، وتتم العملية عبر خطوات تقنية دقيقة كالتالي:

• استغلال Google AppSheet: قام المهاجمون بإنشاء تطبيقات مخصصة على منصة AppSheet، وهي منصة من جوجل تتيح بناء تطبيقات أعمال بدون كتابة أكواد. تم تصميم هذه التطبيقات لتعمل كواجهة لجمع البيانات.
• تجاوز الحماية: نظراً لأن روابط AppSheet تبدأ بنطاق رسمي (google.com)، فإن أنظمة الحماية في برامج البريد مثل Outlook وGmail غالباً ما تصنف هذه الرسائل على أنها آمنة، مما يسمح لها بالوصول إلى علبة الوارد الرئيسية بدلاً من مجلد الرسائل غير المرغوب فيها.
• التفاعل الديناميكي: بمجرد نقر المستخدم على الرابط، يتم توجيهه إلى صفحة ويب مصممة بدقة تحاكي صفحة تسجيل دخول فيسبوك. التقنية المستخدمة هنا لا تعتمد على صفحات ثابتة، بل على نماذج ديناميكية تستجيب لإدخالات المستخدم وتقوم بإرسال البيانات فوراً إلى خادم يتحكم فيه المهاجمون.
• أتمتة الاستخراج: استخدم المهاجمون سكربتات برمجية لسحب رموز الوصول (Access Tokens) ومعلومات الحساب فور إدخالها، مما يتيح لهم تغيير كلمات المرور وتعطيل ميزات الأمان الثنائية (2FA) قبل أن يدرك الضحية وقوع الاختراق.

تؤكد التقارير أن المهاجمين استخدموا تقنيات تضليل تعتمد على بروتوكول SMTP الخاص بخدمات جوجل لإرسال آلاف الرسائل يومياً دون أن يتم حظرهم، وهو ما يبرز فجوة أمنية في كيفية مراقبة جوجل لاستخدام منصاتها الإنتاجية في أغراض خبيثة.

السياق وتأثير السوق

تاريخياً، ارتبطت المجموعات الفيتنامية بهجمات تستهدف مديري الإعلانات على فيسبوك (Facebook Ads Manager) لسرقة ميزانيات إعلانية، لكن حملة AccountDumpling تظهر توسعاً في الأهداف لتشمل الحسابات الشخصية العادية بكميات ضخمة. إن إنشاء "متجر إلكتروني غير قانوني" لبيع هذه الحسابات (30,000 حساب) يشير إلى نضج النموذج الربحي لمجرمي الإنترنت.

في سوق الأمن السيبراني، تضع هذه الحادثة ضغوطاً هائلة على مقدمي خدمات الـ SaaS (البرمجيات كخدمة) مثل جوجل ومايكروسوفت لتشديد الرقابة على أدواتهم. المقارنة هنا مع هجمات سابقة مثل حملة Ducktail توضح أن المهاجمين يبتعدون عن البرمجيات الخبيثة التقليدية (Malware) ويتجهون نحو (Social Engineering) المدعوم بأدوات سحابية مشروعة، وهو تحدٍ يصعب اكتشافه بالوسائل التقليدية.

رؤية Glitch4Techs

من وجهة نظرنا في Glitch4Techs، نرى أن عملية AccountDumpling هي جرس إنذار لمستقبل الأمن السيبراني. لم تعد المشكلة في ثغرات الأكواد فحسب، بل في "إساءة استخدام الوظائف" (Functionality Abuse). إن اعتماد الشركات والأفراد الكلي على خدمات جوجل يجعل من الصعب التشكيك في الروابط الرسمية.

التوقعات والتوصيات:

• نتوقع زيادة في استغلال منصات (Low-code/No-code) في العام القادم، حيث توفر للمهاجمين بنية تحتية مجانية وموثوقة.
• يجب على جوجل تحديث سياسات الاستخدام في AppSheet لفرض رقابة صارمة على النماذج التي تطلب كلمات مرور أو بيانات هوية.
• ننصح المستخدمين دائماً بالتحقق من النطاق النهائي في شريط العنوان، وتفعيل مفاتيح الأمان الفيزيائية (FIDO2) التي تعد خط الدفاع الوحيد الذي لا يمكن تجاوزه بالتصيد التقليدي.

ختاماً، إن سرقة 30 ألف حساب ليست سوى قمة جبل الجليد، فالهدف النهائي هو بناء شبكة بوتنت (Botnet) من الحسابات البشرية الحقيقية لاستخدامها في عمليات تأثير سياسي أو احتيال مالي لاحق.