Киберпреступники нашли хитрый способ обмануть пользователей, внедряя фишинговые письма прямо в их почтовые ящики. Вместо простого подделывания брендов злоумышленники используют реальные облачные сервисы, которым доверяют миллионы людей. Недавние исследования показывают, что злоумышленники взяли под контроль легальную функцию внутри Google Cloud, что позволило им рассылать тысячи поддельных сообщений, маскирующихся под официальные уведомления Google.
Как работают новые методы злоумышленников?
Основой атаки стала услуга Google Cloud Application Integration — инструмент для автоматической отправки уведомлений по электронной почте в рамках бизнес-процессов. Злоумышленники использовали функцию Send Email внутри этой системы для рассылки сообщений. Благодаря тому, что письма исходили с настоящего адреса Google, они выглядели абсолютно легитимными для получателей и систем защиты.
Масштаб и особенности атаки
По данным международной компании Check Point, за две недели в декабре 2025 года злоумышленники отправили более 9 000 фишинговых писем примерно 3 200 организациям по всему миру — в США, Европу, Канаду, Азиатско-Тихоокеанский регион и Латинскую Америку. Большинство сообщений выглядели как стандартные рабочие уведомления: о полученной голосовой почте, доступе к совместным документам или разрешениях на файлы. Такой уровень привычности снижает бдительность пользователей.
Почему такие письма трудно обнаружить?
Письма успешно обходили популярные системы защиты, такие как SPF и DMARC, поскольку отправлялись через инфраструктуру Google. Это вызвало у систем автоматической фильтрации ложное ощущение аутентичности. В результате, получатели переходили по ссылкам, ведущим на страницы, размещённые на доменах storage.cloud.google.com и googleusercontent.com, что добавляло доверия. После прохождения CAPTCHA-заглушки пользователи попадали на фальшивую страницу входа Microsoft, где злоумышленники собирали учетные данные.
Какие отрасли более всего подвержены риску?
Целевые сферы включают производство, IT, финансы, профессиональные услуги и розничную торговлю — те, что активно используют автоматические уведомления и обмен файлами. Также атаки затрагивали медицину, образование, государственный сектор, энергетику, туризм и медиа. В этих областях постоянные запросы разрешений и уведомления о файлах кажутся вполне обыденными и не вызывают подозрений.
Что говорят эксперты и как защититься?
Представитель Google отметил, что компания заблокировала ряд фишинговых кампаний, связанных с злоупотреблением функцией уведомлений внутри Google Cloud Application Integration. Он подчеркнул: «Это не было взломом инфраструктуры Google, а злоупотреблением автоматизацией рабочих процессов». Эксперты советуют всегда проявлять осторожность: проверяйте ссылки, держите антивирусные программы обновлёнными и используйте двухфакторную аутентификацию.
Практические советы для пользователей
- Не спешите кликать на подозрительные сообщения, особенно если они требуют срочного действия.
- Наводите курсор на ссылки, чтобы увидеть реальный адрес перед переходом.
- Если получаете уведомление о доступе к файлу или сообщении, лучше самостоятельно войти в аккаунт через официальный сайт.
- Используйте менеджеры паролей, которые не заполнят фальшивый логин на поддельных страницах.
- Проверяйте, не попадали ли ваши данные в утечки, с помощью специальных сервисов.
Как защититься при использовании облачных сервисов?
Облачные платформы становятся всё более популярной целью злоумышленников, поэтому важно не только быть бдительными, но и использовать современные средства защиты. Установка антивирусов, использование двухфакторной аутентификации и регулярные проверки безопасности значительно снижают риск стать жертвой такой атаки.
Обучение сотрудников и повышение их осведомлённости также имеют большое значение. Чем больше они знают о новых схемах мошенничества, тем сложнее злоумышленникам добиться успеха.