Киберпреступники нашли новый способ обхода защиты: они используют доверенные облачные инструменты для рассылки фишинговых сообщений. В декабре 2025 года злоумышленники взяли под контроль функцию внутри Google Cloud, что позволило им отправлять тысячи поддельных писем, выглядящих как официальные уведомления Google. Эти сообщения успешно обходили фильтры спама и воспринимались пользователями как легитимные.
Детали события: как злоумышленники использовали Google Cloud для фишинга
Злоумышленники использовали сервис Google Cloud Application Integration, предназначенный для автоматической отправки уведомлений по workflows. В частности, они эксплуатировали функцию Send Email, которая позволяет автоматизировать рассылку писем. Благодаря тому, что письма исходили с настоящего Google-адреса, они выглядели аутентично для получателей и систем безопасности. За двухнедельный период злоумышленники отправили более 9 000 фишинговых писем, нацеленных на около 3 200 организаций по всему миру, включая США, Европу, Канаду, Азиатско-Тихоокеанский регион и Латинскую Америку.
Хронология и основные пункты атаки
- Использование легитимных Google-адресов для рассылки сообщений.
- Подделка стиля уведомлений Google: шрифты, оформление, формулировки.
- Цели — организации из сфер производства, технологий, финансов, профессиональных услуг и ритейла, а также здравоохранения, образования, правительства, энергетики, туризма и медиа.
- Фишинговые письма маскировались под сообщения о Voicemail, доступе к документам или разрешениях.
- Письма обходили стандарты SPF и DMARC благодаря инфраструктуре Google.
- После перехода по ссылке пользователь попадал на страницу, размещенную на storage.cloud.google.com, затем перенаправлявшую на поддельную страницу входа Microsoft, где мошенники собирали учетные данные.
Реакция сторон и комментарии экспертов
Представитель Google заявил: “Мы заблокировали ряд фишинговых кампаний, использующих функцию уведомлений внутри Google Cloud Application Integration. Важно подчеркнуть, что атака связана с злоупотреблением автоматизированных инструментов, а не с взломом инфраструктуры Google.”
Эксперты из Check Point отметили, что злоумышленники сосредоточились на отраслях с высокой долей автоматизированных уведомлений и совместного использования файлов. В компании подчеркивают, что подобные атаки усложняют обнаружение, так как злоумышленники используют доверенные платформы.
Несмотря на меры защиты, специалисты рекомендуют пользователям проявлять бдительность: проверять ссылки, избегать автоматического автозаполнения учетных данных на подозрительных страницах и использовать двухфакторную аутентификацию.
Контекст и возможные последствия
Эта атака демонстрирует, как злоумышленники используют легитимные облачные сервисы для обхода стандартных методов защиты. В результате увеличилась сложность выявления фишинговых сообщений, особенно когда они приходят с доверенных адресов. В будущем подобные методы могут стать более распространенными, что требует усиления информационной безопасности и повышения осведомленности сотрудников.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты