Как злоумышленники используют Google Cloud для рассылки доверенных фишинговых писем

В современном мире киберпреступники находят все более изощренные способы обхода защиты и обмана пользователей. Недавние исследования показывают, что злоумышленники начали активно злоупотреблять доверенными облачными сервисами, чтобы рассылать фишинговые письма, которые сложно отличить от легитимных сообщений. Особенно опасным стало использование возможностей Google Cloud, что позволяет преступникам маскироваться под официальные уведомления.

Как злоумышленники используют инструменты Google Cloud

Основной механизм атаки — это использование сервиса Google Cloud Application Integration, который предназначен для автоматической отправки уведомлений по электронной почте в рамках бизнес-процессов. В ходе атаки злоумышленники взяли под контроль функцию Send Email внутри этого сервиса. Благодаря этому, они отправляли тысячи писем, которые выглядели и ощущались как стандартные уведомления Google. Такие сообщения легко проходят фильтры спама и не вызывают подозрений у получателей.

Масштаб и география кампании

По данным международной компании Check Point, за две недели в декабре 2025 года злоумышленники разослали более 9 тысяч фишинговых писем примерно 3 200 организациям по всему миру — от США и Европы до Азии и Латинской Америки. Эти письма были тщательно стилизованы под официальные уведомления Google: шрифты, оформление и текстовые стили полностью совпадали с реальными сообщениями компании.

Как выглядят фишинговые сообщения

Обманчиво, что такие письма часто имитируют важные рабочие уведомления, например, уведомления о голосовой почте или доступе к файлам в облаке. Это вызывает у сотрудников ощущение привычности и снижает бдительность. Более того, поскольку письма отправлялись через инфраструктуру Google, они не проходили стандартные проверки SPF и DMARC, что делало их ещё более доверительными для систем безопасности.

Механизм атаки и последствия

После перехода по вредоносной ссылке пользователь попадает на страницу, размещённую на storage.cloud.google.com, что вызывает у жертвы ощущение доверия. Затем происходит перенаправление на поддельную страницу входа Microsoft, где злоумышленники собирают учетные данные. Это особенно опасно для компаний, использующих автоматические уведомления и обмен файлами, так как такие письма кажутся вполне обычными и ежедневными.

Что советуют эксперты и как защититься

Компания Google заявила, что обнаружила и заблокировала несколько кампаний, связанных с злоупотреблением функцией уведомлений внутри Google Cloud Application Integration. В компании отмечают, что в ходе атаки не было взломано инфраструктура Google, и все действия связаны с использованием автоматизированных инструментов злоумышленниками.

Эксперты подчеркивают важность бдительности. Важно всегда проверять ссылки — наведите курсор и убедитесь, что конечный адрес совпадает с ожидаемым. Не спешите вводить свои данные — если есть сомнения, откройте сайт вручную через браузер. Также рекомендуется использовать менеджеры паролей: они не заполнят фейковые формы, поскольку не распознают их как доверенные.

Дополнительные меры безопасности

• Проверяйте, не связаны ли ваши аккаунты с утечками данных — специальные сервисы помогут обнаружить компрометацию.
• Используйте двухфакторную аутентификацию для защиты аккаунтов.
• Обратите внимание на подозрительные письма и немедленно сообщайте о них в IT-отдел или службу безопасности.

Постоянное повышение информационной грамотности и использование современных средств защиты позволяют снизить риск стать жертвой таких сложных и продуманных атак. В условиях, когда злоумышленники используют доверенные облачные платформы, бдительность и профилактика — лучшие инструменты для сохранения личных данных и корпоративной безопасности.