Новые методы злоумышленников: злоупотребление облачными платформами для фишинга
Современные киберпреступники нашли изощренный способ проникать в почтовые ящики пользователей, не прибегая к классическим методам подделки брендов. Вместо этого они используют доверенные облачные инструменты, которые уже широко доверяются получателями. Специалисты по информационной безопасности недавно обнаружили, что злоумышленники взяли под контроль легитимную функцию электронной почты внутри Google Cloud, что позволило им рассылать тысячи фишинговых сообщений, практически неотличимых от настоящих уведомлений Google.
Как работают новые атаки
Основой атаки стала служба Google Cloud Application Integration — платформа, которая позволяет компаниям автоматически отправлять уведомления по электронной почте в рамках своих рабочих процессов. Злоумышленники использовали уязвимость в функции отправки писем через этот сервис, что сделало их сообщения максимально аутентичными. Письма выглядели как стандартные уведомления Google: шрифты, стили оформления и структура полностью совпадали с оригинальными. За две недели в декабре 2025 года злоумышленники отправили более 9 000 фишинговых писем, направленных примерно на 3 200 организаций по всему миру — в США, Европе, Канаде, Азии и Латинской Америке.
Особенности атак и их маскировка
Зловредные письма выглядели как обычные рабочие уведомления: некоторые сообщали о получении голосового сообщения, другие — о доступе к совместным документам, например, отчетам за четвертый квартал. Такой уровень «нормальности» снижал бдительность пользователей. Более того, благодаря использованию инфраструктуры Google, письма обходили стандартные системы защиты, такие как SPF и DMARC, поскольку отправлялись через доверенные Google-серверы. Это делало их практически незаметными для автоматических фильтров.
Механизм перехода и фишинговая ловушка
После того, как жертва кликала по ссылке, её перенаправляли на страницу, размещённую на storage.cloud.google.com — ещё один доверенный домен. Затем происходила переадресация на поддельную страницу входа Microsoft, расположенную на внешнем домене. Там злоумышленники использовали фальшивый CAPTCHA или изображение для обхода автоматических сканеров безопасности. Вводимые пользователем данные мгновенно попадали к преступникам, что позволяло похищать логины и пароли.
Кому угрожают эти атаки
По данным аналитической компании, которая отслеживает масштабные киберугрозы, основные цели — сферы, в которых автоматические уведомления и обмен файлами являются неотъемлемой частью бизнеса. Среди них — производство, технологии, финансы, профессиональные услуги и розничная торговля. Также пострадали здравоохранение, образование, государственные структуры, энергетика, туризм и СМИ. В этих отраслях постоянные запросы разрешений и уведомления о совместной работе создают ощущение рутины, что снижает бдительность сотрудников.
Меры противодействия и рекомендации
Компания Google заявила, что уже заблокировала несколько кампаний по рассылке фишинговых сообщений, использующих функцию автоматической отправки уведомлений внутри Google Cloud. Важно отметить, что в данном случае не произошёл взлом инфраструктуры Google, а злоупотребление функциями автоматизации.
Эксперты советуют соблюдать осторожность при получении уведомлений, особенно если они вызывают срочность или требуют немедленных действий. Вот несколько правил, которые помогут защититься:
- Всегда проверяйте ссылки — наведите курсор, чтобы предварительно увидеть, куда ведёт ссылка. В этой кампании переходы проходили через несколько доверенных доменов Google, прежде чем попасть на фальшивую страницу входа. Если конечный адрес не совпадает с ожидаемым, лучше закрыть страницу.
- Не кликайте сразу по ссылкам из сообщений о совместных документах. Лучше откройте браузер и войдите в облачный сервис напрямую — Google Drive или OneDrive — чтобы проверить наличие новых файлов.
- Используйте менеджеры паролей, которые обычно не заполняют данные на фальшивых страницах. Если автоматическая подстановка не происходит, обратите внимание — это может быть признаком подделки.
- Проверяйте, не оказался ли ваш адрес в базах утечек данных. Надёжные менеджеры паролей имеют встроенные сканеры, которые помогают обнаружить возможные компрометации.
Защита с помощью современных технологий
Современные антивирусные программы не только сканируют файлы, но и активно обнаруживают вредоносные ссылки, фальшивые CAPTCHA и сайты для сбора учетных данных в реальном времени. Они могут блокировать фишинговые страницы даже после того, как пользователь кликнул по ссылке, что особенно важно в многоэтапных атаках.
Для надёжной защиты рекомендуется установить качественное антивирусное программное обеспечение на все устройства. Это поможет не только блокировать фишинговые сайты, но и своевременно оповещать о подозрительных письмах и угрозах типа программ-вымогателей.
Обеспечение личной безопасности и снижение рисков
Злоумышленники зачастую используют информацию, которая у них есть о вашей должности или компании, взятую из открытых источников или баз данных утечек. Поэтому важно рассматривать услуги по удалению личных данных из публичных баз и сайтов брокеров. Хотя ни один сервис не гарантирует полного избавления от всей информации в интернете, систематическая очистка значительно усложняет злоумышленникам создание точных персональных профилей.
Также рекомендуется включать двухфакторную аутентификацию (2FA) для всех важных аккаунтов, предпочитая приложения-авторизаторы или аппаратные ключи. Это значительно усложняет доступ к вашим данным даже при компрометации пароля.
Контроль и своевременное реагирование
При появлении подозрительных сообщений или подозрений на фишинг важно сразу информировать IT-отдел или службы безопасности. Быстрая реакция помогает предотвратить распространение атаки внутри организации и минимизировать возможный ущерб.
Заключительные советы по безопасности
Эта атака показывает, что злоумышленники всё чаще используют доверие к облачным сервисам, чтобы обойти традиционные методы защиты. Поэтому важно оставаться внимательными к любым сообщениям, особенно если они вызывают ощущение срочности или требуют ввода личных данных. Внимательное отношение к деталям — ключ к сохранению вашей цифровой безопасности.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.