Доверяете письмам с google.com? Поздравляем, вы идеальная жертва.

Google Check Point Google Cloud Application Integration фишинг злоупотребление сервисом учетные данные
Доверяете письмам с google.com? Поздравляем, вы идеальная жертва.
Google Check Point Google Cloud Application Integration фишинг злоупотребление сервисом учетные данные

Идеальная репутация отправителя позволяет злоумышленникам обходить любые защиты без лишних усилий.

image

Тысячи организаций стали жертвами масштабной фишинговой рассылки, в которой злоумышленники использовали официальный домен Google для отправки писем. Такая атака оказалась особенно опасной из-за того, что сообщения выглядели максимально правдоподобно и не вызывали подозрений даже у систем защиты.

По данным Check Point, кампания основывалась на функции автоматической отправки писем в облачном сервисе Google Cloud Application Integration. С её помощью обычно рассылаются системные уведомления, отчёты или служебные сообщения. Однако преступники задействовали этот инструмент для рассылки поддельных писем от имени адреса «noreply-application-integration@google[.]com». За две недели они успели отправить почти 9400 сообщений более чем 3200 получателям.

Каждое письмо имитировало служебные уведомления: уведомления о голосовой почте, запросы доступа к файлам, сообщения об изменениях прав. Первые переходы по ссылкам действительно вели на легитимную инфраструктуру Google, но далее происходила незаметная переадресация на вредоносные ресурсы. Такой многоступенчатый переход снижал уровень подозрительности и позволял обойти автоматические фильтры.

В цепочке перенаправлений использовались и домены «googleusercontent[.]com», что добавляло доверия со стороны пользователей. На одной из промежуточных страниц размещалась проверка CAPTCHA, чтобы обойти сканеры и антиботы. Финальной точкой был сайт, замаскированный под страницу входа в Microsoft, где у жертвы запрашивались учётные данные.

Google подтвердил наличие подобных атак и отметил, что инфраструктура компании взломана не была — речь идёт именно о злоупотреблении легальной функцией автоматизации. Часть кампаний уже была заблокирована, и компания внедрила дополнительные меры защиты, но предупредила, что в будущем возможны подобные попытки обмана с использованием известных брендов.

Специалисты подчёркивают, что подобный подход нарушает прежние принципы фильтрации писем. Наличие настоящего домена отправителя, корректной инфраструктуры и даже официального оформления больше не гарантируют безопасность — фишинг теперь может маскироваться под вполне легитимный трафик.