Google Cloud: Μεγάλη απάτη phishing με επίσημα email της Google – Τι πρέπει να προσέξετε

Μια νέα, εξαιρετικά εξελιγμένη εκστρατεία phishing στοχεύει χρήστες του Google Cloud, χρησιμοποιώντας την επίσημη διεύθυνση [email protected] για να παρακάμψει τα φίλτρα ασφαλείας. Σύμφωνα με την Check Point Research, οι επιτιθέμενοι εκμεταλλεύονται νόμιμες λειτουργίες της υποδομής της Google για να υποκλέψουν διαπιστευτήρια της Microsoft από χιλιάδες οργανισμούς παγκοσμίως.

Αυτή η εξέλιξη έρχεται να επιβεβαιώσει μια ανησυχητική τάση στον χώρο της κυβερνοασφάλειας, όπου οι εγκληματίες του διαδικτύου δεν βασίζονται πλέον σε προφανή ψεύτικα domain, αλλά «κατοικούν» μέσα σε νόμιμες υπηρεσίες cloud. Η συγκεκριμένη εκστρατεία phishing δεν αποτελεί σφάλμα ασφαλείας της Google, αλλά μια κατάχρηση λειτουργιών που προορίζονται για την αυτοματοποίηση ροών εργασίας, καθιστώντας τον εντοπισμό της εξαιρετικά δύσκολο για τα παραδοσιακά συστήματα προστασίας.

Η ανατομία μιας «νόμιμης» επίθεσης

Κατά τη διάρκεια μιας περιόδου μόλις δύο εβδομάδων, οι ερευνητές της Check Point Software εντόπισαν την αποστολή περισσότερων από 9.000 κακόβουλων μηνυμάτων. Αυτά τα email απευθύνονταν σε περίπου 3.200 οργανισμούς σε όλο τον κόσμο, γεγονός που καταδεικνύει τη μαζικότητα αλλά και τη στόχευση της επιχείρησης. Το στοιχείο που προκαλεί τη μεγαλύτερη ανησυχία είναι ότι τα μηνύματα προέρχονταν από τη διεύθυνση [email protected], η οποία είναι απόλυτα έγκυρη και συνδεδεμένη με τις υπηρεσίες του Google Cloud.

Επειδή τα μηνύματα αποστέλλονται μέσω της επίσημης υποδομής της Google, καταφέρνουν να περάσουν «κάτω από το ραντάρ» των φίλτρων που ελέγχουν τη φήμη του αποστολέα. Για τον τελικό χρήστη, το email φαίνεται απόλυτα επαγγελματικό, με σωστό domain και ορολογία που προσομοιάζει τις τυπικές εταιρικές ειδοποιήσεις, όπως ενημερώσεις για κοινόχρηστα έγγραφα ή αιτήματα αδειών.

Η διαδρομή της απάτης: Από το CAPTCHA στην υποκλοπή

Οι επιτιθέμενοι έχουν σχεδιάσει μια διαδρομή πολλαπλών σταδίων για να κάμψουν τις αντιστάσεις των θυμάτων. Αρχικά, ο σύνδεσμος μέσα στο email οδηγεί σε μια νόμιμη υπηρεσία φιλοξενούμενη στο Google Cloud. Αυτό το βήμα μειώνει τις υποψίες των εργαλείων αυτόματης ανάλυσης. Στη συνέχεια, ο χρήστης καλείται να περάσει μια ψεύτικη επαλήθευση CAPTCHA. Ο σκοπός της δεν είναι η ασφάλεια, αλλά ο αποκλεισμός των αυτοματοποιημένων συστημάτων ανίχνευσης που προσπαθούν να σκανάρουν την τελική σελίδα προορισμού.

Μόνο αφού ολοκληρωθεί η επαλήθευση, το θύμα ανακατευθύνεται σε μια πλαστή σελίδα σύνδεσης της Microsoft, η οποία φιλοξενείται σε εξωτερικό domain. Εκεί πραγματοποιείται η τελική υποκλοπή των κωδικών πρόσβασης. Οι αναλυτές ασφαλείας επισημαίνουν ότι η απουσία της κλασικής «υπερβολικής επείγουσας ανάγκης» στα κείμενα των email καθιστά την απάτη ακόμα πιο πειστική, καθώς ευθυγραμμίζεται με τις εσωτερικές διαδικασίες μιας επιχείρησης.

Η γνώμη των ειδικών και η επόμενη μέρα

Σύμφωνα με ειδικούς σε θέματα ψηφιακής συμπεριφοράς, η συστηματική έκθεση σε δεκάδες ειδοποιήσεις καθημερινά οδηγεί τους εργαζόμενους σε μια κατάσταση ψηφιακής κόπωσης. Σε αυτό το περιβάλλον, η σωστή διαχείριση των ειδοποιήσεων καθίσταται κρίσιμη. Οι αναλυτές της αγοράς κυβερνοασφάλειας προειδοποιούν ότι οι επιθέσεις που χρησιμοποιούν «νόμιμα όπλα» (living off the land) θα αυξηθούν, καθώς οι εγκληματίες εκμεταλλεύονται την εμπιστοσύνη που δείχνουν οι χρήστες σε μεγάλους παρόχους όπως η Google και η Microsoft.

Πώς να προστατεύσετε τον οργανισμό σας

Η προστασία από τέτοιου είδους απειλές απαιτεί μια συνδυαστική προσέγγιση τεχνολογίας και εκπαίδευσης. Οι επιχειρήσεις θα πρέπει να ενισχύσουν τα πρωτόκολλα ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και να εκπαιδεύσουν το προσωπικό τους στην αναγνώριση ύποπτων ανακατευθύνσεων, ακόμα και όταν η αρχική πηγή φαίνεται έγκυρη. Η εγρήγορση παραμένει η καλύτερη άμυνα απέναντι σε μια εκστρατεία που δείχνει πόσο εύκολα μπορεί να πλαστογραφηθεί η ψηφιακή αυθεντία.