Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια επικίνδυνη νέα καμπάνια ηλεκτρονικού ψαρέματος που εξαπατά τους χρήστες να παραδώσουν τα διαπιστευτήριά τους πλαστογραφώντας τη νόμιμη υποστήριξη και ειδοποιήσεις της Google.
Η επίθεση συνδυάζει το vishing (φωνητικό ψάρεμα), τους παραπλανητικούς τομείς και την αξιόπιστη υποδομή της Google για να επιτύχει εξαιρετικά ποσοστά επιτυχίας έναντι οργανισμών παγκοσμίως.
Η επίθεση χρησιμοποιεί μια πολυεπίπεδη προσέγγιση κοινωνικής μηχανικής. Οι φορείς απειλών ξεκινούν επικοινωνία μέσω τηλεφώνου, χρησιμοποιώντας τεχνολογία πλαστογράφησης φωνής για να μιμηθούν τους εκπροσώπους υποστήριξης της Google.
Αυτές οι κλήσεις αναφέρονται σε ύποπτη δραστηριότητα λογαριασμού ή ζητήματα ασφάλειας, δημιουργώντας επείγουσα ανάγκη και εμπιστοσύνη.
Καμπάνια ηλεκτρονικού ψαρέματος που βασίζεται στην υποστήριξη της Google
Στη συνέχεια, ο εισβολέας κατευθύνει τα θύματα να κάνουν κλικ σε συνδέσμους στα επόμενα μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται ότι προέρχονται από νόμιμες διευθύνσεις της Google, παρακάμπτοντας τους παραδοσιακούς ελέγχους ελέγχου ταυτότητας email όπως SPF, DKIM και DMARC.
Αυτό που κάνει αυτή την καμπάνια ιδιαίτερα ύπουλη είναι η κατάχρηση της υποδομής cloud της ίδιας της Google.
Αντί να δημιουργούν ψεύτικους τομείς που θα μπορούσαν να ενεργοποιήσουν φίλτρα ασφαλείας, οι εισβολείς αξιοποιούν τις υπηρεσίες ενοποίησης εφαρμογών Google Cloud για να στείλουν μηνύματα ηλεκτρονικού ψαρέματος απευθείας από τη νόμιμη υποδομή της Google.
Μόνο τον Δεκέμβριο του 2025, οι ερευνητές τεκμηρίωσαν πάνω από 9.000 μηνύματα ηλεκτρονικού “ψαρέματος” που στόχευαν περίπου 3.200 επιχειρήσεις στις Ηνωμένες Πολιτείες, την Ευρώπη, την Ασία-Ειρηνικό, τον Καναδά και τη Λατινική Αμερική.
Η ροή επίθεσης ακολουθεί μια εξελιγμένη αλυσίδα ανακατεύθυνσης. Όταν τα θύματα κάνουν κλικ σε ενσωματωμένους συνδέσμους, προσγειώνονται σε σελίδες που φιλοξενούνται σε αξιόπιστους τομείς του Google Cloud Storage, καθιστώντας τα φίλτρα φήμης URL αναποτελεσματικά.
Αυτές οι σελίδες εμφανίζουν ψεύτικες οθόνες επαλήθευσης CAPTCHA που μπλοκάρουν την αυτοματοποιημένη σάρωση ασφαλείας ενώ επιτρέπουν στους ανθρώπινους χρήστες να περάσουν, όπως αναφέρθηκε από τον Dmitrn Gmilnanets.
Μετά την επαλήθευση, τα θύματα είναι ανακατευθυνθεί σε σελίδες συλλογής διαπιστευτηρίων που μιμούνται Οθόνες σύνδεσης Google ή διεπαφές Microsoft 365, όπου κλέβονται τα ονόματα χρήστη και οι κωδικοί πρόσβασής τους.
Οι ειδικοί σε θέματα ασφάλειας τονίζουν ότι οι πάροχοι cloud δεν ξεκινούν ποτέ επαφή για να ζητήσουν διαπιστευτήρια σύνδεσης ή να κατευθύνουν τους χρήστες σε εξωτερικές σελίδες επαλήθευσης.
.webp.jpeg "Νέα εξελιγμένη επίθεση phishing Mimic ως υποστήριξη Google για κλοπή συνδέσεων")
Οι χρήστες θα πρέπει πάντα να πλοηγούνται απευθείας στις επίσημες πύλες υπηρεσιών που χρησιμοποιούν ήδη αντί να κάνουν κλικ σε συνδέσμους σε ανεπιθύμητες επικοινωνίες.
Οι οργανισμοί θα πρέπει να εφαρμόζουν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), να επιβάλλουν τη χρήση ενός διαχειριστή κωδικών πρόσβασης, να περιορίζουν τις θέσεις σύνδεσης κατά εύρος IP και να παρέχουν τακτική εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια.
Επιπλέον, οι ομάδες ασφαλείας πρέπει να προχωρήσουν πέρα από τις παραδοσιακές άμυνες φήμης τομέα και να εφαρμόσουν ανάλυση συμπεριφοράς και εντοπισμό απειλών με βάση τα συμφραζόμενα για να εντοπίσουν νόμιμη υποδομή που χρησιμοποιείται για κακόβουλους σκοπούς.
Αυτή η καμπάνια υπογραμμίζει μια κρίσιμη αλλαγή στις τακτικές ηλεκτρονικού ψαρέματος: οι εισβολείς καταχρώνται ολοένα και περισσότερο τις νόμιμες πλατφόρμες αντί να πλαστογραφούν τομείς, απαιτώντας μια θεμελιώδη επανεξέταση των στρατηγικών ασφάλειας email.
