askformore@bittnet.ro
Clase Programate

Campanie de phishing exploateaza serviciul de email Google Cloud

O noua metoda sofisticata de phishing pune in pericol utilizatorii si companiile

Campanie de phishing exploateaza serviciul de email Google Cloud. Într-un nou val de atacuri cibernetice, cercetatorii in securitate au descoperit o campanie de phishing care exploateaza serviciul de email oferit de Google Cloud pentru a trimite mesaje frauduloase ce par autentice. Acest tip de atac submineaza increderea in infrastructurile cloud de incredere si evidentiaza nevoia crescanda de constientizare si solutii de securitate in domeniu.

Ce este Google Cloud Email si de ce este vizat?

Google Cloud Email este un serviciu integrat in cadrul platformei Google Cloud Platform (GCP), care permite dezvoltatorilor si companiilor sa trimita emailuri prin interfete API, servere SMTP sau prin alte componente gestionate de Google.

Acest serviciu a devenit un instrument valoros atat pentru dezvoltatori, cat si pentru infrastructura companiei, insa actorii rau intentionati au gasit metode de abuz:

  • Profitand de reputatia domeniilor Google pentru a trimite emailuri frauduloase fara a fi blocate de filtrele de spam.
  • Configurand conturi GCP pentru a livra mesaje care par provenite de la domenii de incredere.
  • Eludand inspectiile standard SPF si DKIM prin exploatarea configuratiilor implicite oferite de sistem.

Detalii despre campania de phishing descoperita

Conform investigatiei publicate de firma de securitate cibernetica Mitiga, atacatorii au reusit sa trimita emailuri de phishing valide din infrastructura Google Cloud, folosind header-ul “From” cu domenii care nu apartin Google.

Acest mecanism este extrem de periculos pentru ca:

  • Emailurile par sa vina de la o sursa autentica precum: no-reply@cunoscutadomeniu.com.
  • Receptorul are incredere in sursa mesajului, iar filtrele anti-spam nu le marcheaza ca fiind periculoase.
  • Link-urile din email duc catre site-uri de phishing concepute pentru a colecta acreditive sau date financiare.

Metoda tehnica utilizata de atacatori

  1. Atacatorii creeaza un cont valid in Google Cloud Platform si activeaza serviciul de trimitere email.
  2. Configureaza serviciul astfel incat emailurile sa poata avea un header “From” personalizat.
  3. Emailurile sunt livrate prin smtp.gmail.com sau API-ul Gmail SMTP relay, cu o aparenta legitima.
  4. Mesajele contin hyperlinkuri frauduloase sau documente atasate care declanseaza compromiterea sistemului destinatarului.

Potrivit cercetatorilor, acest tip de livrare este posibil deoarece unele configuratii Google permit trimiterea emailurilor folosind domenii arbitrare in “From”, atata timp cat contul GCP este valid si nu este raportat pentru abuz.

Impactul asupra companiilor si utilizatorilor finali

Impactul unei astfel de campanii este semnificativ, in special pentru companiile care utilizeaza infrastructura Google. Prin exploatarea reputatiei pozitive asociate cu serviciile Google, atacurile pot:

  • Compromite datele confidentiale ale clientilor unei companii prin inginerie sociala.
  • Fura acreditive de autentificare ce pot fi utilizate in atacuri ulterioare precum ransomware.
  • Afecta reputatia digitala a afacerii vizate, prin legarea domeniului acesteia cu phishing.

Studii de caz si mesaje capcana

Specialistii Mitiga au prezentat exemple de mesaje trimise in cadrul acestei campanii. Unul dintre acestea simula o notificare de securitate ce sugera schimbarea urgenta a parolei printr-un link inclus in mesaj.

Exemplu de mesaj:

Stimate client, am detectat o tentativa de acces neautorizat in contul dvs. Pentru siguranta, va rugam sa resetati parola folosind link-ul de mai jos: [Link fraudulos]. Acest link este valid doar 15 minute.

Cum pot fi prevenite aceste atacuri?

Pentru a diminua riscul compromiterii prin aceste atacuri de phishing, organizatiile si utilizatorii individuali trebuie sa ia masuri proactive.

Masuri recomandate pentru companii:

  • Activarea autentificarii SPF, DKIM si DMARC pentru domenii proprii si monitorizarea acestora pentru activitati email neautorizate.
  • Utilizarea de gateway-uri de email securizate care implementeaza inspectie avansata a continutului (ATP – Advanced Threat Protection).
  • Educarea angajatilor cu privire la recunoasterea semnalelor de phishing precum mesaje urgente si link-uri suspecte.
  • Controlul strict al accesului in infrastructura cloud, inclusiv limitarea permisiunilor API.

Masuri pentru utilizatorii individuali:

  • Evita accesarea link-urilor din emailuri nesolicitate.
  • Verifica adresa de email a expeditorului si uitati-va la mici greseli de ortografie sau domenii neobisnuite.
  • Foloseste o solutie antivirus si anti-phishing actualizata permanent.
  • Activeaza autentificarea in doi factori pentru conturile importante.

Actiunea Google si responsabilitatea furnizorilor cloud

Desi infrastructura cloud a Google nu este exploatata tehnic in mod ilegal, cercetatorii subliniaza faptul ca Google ar trebui sa ia masuri aditionale pentru a:

  • Implementeze restrictii suplimentare in ceea ce priveste header-ul “From”.
  • Monitorizeze in mod activ abuzurile de acest tip din serviciile sale cloud.
  • Oferirea de rapoarte API detaliate administratorilor pentru a detecta tentativile de phishing.

Google a declarat ca investigheaza cazurile raportate si coopereaza cu firmele de securitate pentru a estompa impactul acestei metode.

Concluzii si perspective pentru 2025

Aceasta campanie de phishing evidentiaza evolutia continua a tacticilor cibernetice malitioase si nevoia constanta de adaptare a strategiilor de aparare.

Este clar ca, desi infrastructurile cloud precum Google Cloud ofera scalabilitate si performanta, furnizorii, companiile si utilizatorii finali au responsabilitatea comuna de a proteja ecosistemul online.

Un aspect esential in combaterea acestor atacuri este educatia continua, atat pe partea tehnica cat si non-tehnica.

Ce urmeaza? Este de asteptat ca in 2025 si anii urmatori, tehnicile de atac sa devina si mai sofisticate. Automatizarea si AI vor fi folosite nu doar de aparare, ci si de atacatori, ceea ce va schimba fundamental peisajul amenintarilor.

Este esential sa investim proactiv in:

  • Educatia angajatilor in recunoasterea emailurilor periculoase.
  • Sisteme de filtrare avansata in infrastructurile de email.
  • Monitorizare activa a comportamentului din retea si pe terminale.

Cu siguranta ai inteles care sunt noutatile din 2025 legate de securitate cibernetica, daca esti interesat sa aprofundezi cunostintele in domeniu, te invitam sa explorezi gama noastra de cursuri dedicate securitatii cibernetice din categoria
Cybersecurity. Indiferent daca esti la inceput de drum sau doresti sa iti perfectionezi abilitatile, avem un curs potrivit pentru tine.