Οι χάκερ έχουν ξεκινήσει μια εξελιγμένη καμπάνια ηλεκτρονικού ψαρέματος που εκμεταλλεύεται τις ειδοποιήσεις του Google Tasks για να στοχεύσει πάνω από 3.000 οργανισμούς σε όλο τον κόσμο, κυρίως στον κατασκευαστικό τομέα.
Οι επιθέσεις του Δεκεμβρίου 2025 σηματοδοτούν μια επικίνδυνη αλλαγή στις απειλές που βασίζονται σε email, κατά τις οποίες οι εισβολείς κάνουν κατάχρηση της νόμιμης υποδομής της Google αντί να πλαστογραφούν τομείς ή να πλαστογραφούν κεφαλίδες email.
Τα μηνύματα ηλεκτρονικού ψαρέματος προήλθαν από μια νόμιμη διεύθυνση Google [email protected] και πέρασαν με επιτυχία όλα τα κύρια πρωτόκολλα ελέγχου ταυτότητας email, συμπεριλαμβανομένων των SPF, DKIM, DMARC και CompAuth.
Αυτό επέτρεψε στα κακόβουλα μηνύματα να παρακάμψουν τις παραδοσιακές πύλες ασφαλείας email που βασίζονται στη φήμη του αποστολέα και στην εμπιστοσύνη του τομέα, RavenMail είπε Ειδήσεις Κυβερνοασφάλειας.
.webp.jpeg "Hackers κατάχρηση Google Tasks Ειδοποίηση για εξελιγμένη επίθεση phishing")
Τα μηνύματα ηλεκτρονικού ταχυδρομείου πλαστοπροσωπούσαν τις ειδοποιήσεις Google Tasks, παρουσιάζοντας αυτό που φαινόταν ότι ήταν μια “Εργασία όλων των εργαζομένων” που ζητούσε επείγουσα επαλήθευση εργαζομένων.
Ζητήθηκε από τους παραλήπτες να κάνουν κλικ στα κουμπιά με την ένδειξη “Προβολή εργασίας” ή “Επισήμανση ως ολοκληρωμένης”, η οποία τους ανακατευθύνει σε μια κακόβουλη σελίδα που φιλοξενείται στο Google Cloud Storage.
Η καμπάνια phishing εκμεταλλεύεται την αξιόπιστη υπηρεσία Google
Οι επιτιθέμενοι εκμεταλλεύτηκαν την υπηρεσία ενσωμάτωσης εφαρμογών της Google για να στείλουν μηνύματα ηλεκτρονικού ταχυδρομείου από τη νόμιμη υποδομή της Google, κληρονομώντας την υψηλή φήμη αποστολέα της Google και την καθολική λίστα επιτρεπόμενων.
Η σελίδα ηλεκτρονικού ψαρέματος αναπαρήγαγε την επωνυμία του Google Tasks με υψηλή ακρίβεια, συμπεριλαμβανομένων των οικείων στοιχείων διεπαφής χρήστη, του νόμιμου κειμένου υποσέλιδου και των κουμπιών παρότρυνσης για δράση με αυθεντική εμφάνιση.
Η επίθεση ανακατεύθυνε τα θύματα σε διευθύνσεις URL που φιλοξενούνται στο Google Cloud Storage (storage.cloud.google.com), καθιστώντας τον παραδοσιακό εντοπισμό που βασίζεται στη φήμη URL αναποτελεσματικό.
Τα μηνύματα χρησιμοποίησαν ψυχολογικά ερεθίσματα, συμπεριλαμβανομένου του πλαισίου εξουσίας, δεικτών επείγουσας ανάγκης και ελάχιστης εξήγησης, για να ενθαρρύνουν την άμεση δράση χωρίς έλεγχο. Αυτή η επίθεση αντιπροσωπεύει μια θεμελιώδη πρόκληση για την ασφάλεια του email.
Δεδομένου ότι ο αποστολέας ήταν η Google, οι έλεγχοι ελέγχου ταυτότητας πέρασαν, οι τομείς ήταν αξιόπιστοι και δεν υπήρχαν ύποπτα συνημμένα, τα συμβατικά εργαλεία ασφαλείας δεν βρήκαν τίποτα για αποκλεισμό.
Οι ερευνητές απειλών έχουν τεκμηριώσει παρόμοιες εκστρατείες που κάνουν κατάχρηση του Google Classroom, των Φόρμων Google και του AppSheet για τη συλλογή διαπιστευτηρίων.
.webp.jpeg "Hackers κατάχρηση Google Tasks Ειδοποίηση για εξελιγμένη επίθεση phishing")
Η RavenMail εντόπισε την καμπάνια αναλύοντας αναντιστοιχίες με βάση τα συμφραζόμενα αντί να βασίζεται στη φήμη του τομέα.
Η πλατφόρμα ασφαλείας εντόπισε ότι το Google Tasks χρησιμοποιήθηκε για την επαλήθευση ανθρώπινου δυναμικού ως ανώμαλο και ότι οι διευθύνσεις URL του Cloud Storage ήταν ασυνεπείς με τις νόμιμες ροές εργασιών του Google Tasks. Οι ειδικοί ασφαλείας προειδοποιούν ότι αυτό δεν είναι απομονωμένο στην Google.
Οι εισβολείς κάνουν ολοένα και περισσότερο κατάχρηση αξιόπιστων πλατφορμών, συμπεριλαμβανομένου του Salesforce και Amazon SES, για την παροχή επιθέσεων phishing εντός νόμιμων συστημάτων.
Η μετάβαση από την πλαστογράφηση σε επίπεδο υποδομής στην κατάχρηση ροής εργασιών απαιτεί από τους οργανισμούς να επανεξετάσουν την ασφάλεια email πέρα από τα παραδοσιακά σήματα ελέγχου ταυτότητας.
