Cyberprzestępcy nadużywają usługi Google Cloud do wysyłania e-maili phishingowych

Osoba korzystająca z laptopa - wizualna prezentacja otrzymywania e-maili phishingowych

Eksperci ds. cyberbezpieczeństwa ujawnili kampanię phishingową na dużą skalę, w której atakujący wykorzystywali usługę Application Integration w Google Cloud do wysyłania wiadomości wyglądających na autentyczne powiadomienia Google.

Jak poinformowała firma Check Point, cyberprzestępcy nadużyli funkcji „Send Email”, wysyłając wiadomości z zaufanego adresu noreply-application-integration@google.com. Ponieważ e-maile pochodziły z infrastruktury należącej do Google, skutecznie omijały zabezpieczenia takie jak DMARC i SPF, co zwiększało ich wiarygodność i skuteczność.

Najlepsze VPN-y na 2026 rok

Wiadomości imitowały typowe alerty korporacyjne, m.in. powiadomienia o poczcie głosowej lub udostępnieniu plików, wiernie odtwarzając styl oraz strukturę komunikatów Google. W ciągu 14 dni w grudniu 2025 roku wysłano 9 394 e-maili phishingowych skierowanych do około 3 200 odbiorców na całym świecie, w tym w USA, Europie, regionie Azji i Pacyfiku, Kanadzie oraz Ameryce Łacińskiej.

Łańcuch ataku był wieloetapowy. Po kliknięciu w link ofiary trafiały najpierw na stronę hostowaną w domenie storage.cloud.google.com, następnie na googleusercontent.com, gdzie wyświetlany był fałszywy CAPTCHA lub ekran weryfikacyjny mający zmylić narzędzia bezpieczeństwa. Po przejściu tego etapu użytkownicy byli przekierowywani na podrobioną stronę logowania Microsoft, hostowaną poza oficjalną domeną firmy, gdzie dochodziło do kradzieży danych uwierzytelniających.

Analiza Check Point wskazuje, że głównymi celami ataków były firmy z sektorów produkcyjnego, technologicznego, finansowego, usług profesjonalnych oraz handlu detalicznego, choć kampania dotknęła również m.in. administrację publiczną.

Google poinformowało, że zablokowało możliwość nadużywania funkcji wysyłania e-maili w Application Integration i wdraża dodatkowe środki zapobiegawcze. Incydent pokazuje, jak legalne narzędzia automatyzacji w chmurze mogą zostać wykorzystane do prowadzenia zaawansowanych ataków phishingowych bez klasycznego fałszowania nadawcy.

Tagi

Te artykuły mogą Cię zaciekawić: