חוקרי אבטחה מ-צ'ק פוינט חושפים מגמה מדאיגה שבה פושעי סייבר עושים שימוש לרעה בתשתית הלגיטימית של Google Cloud Email כדי להפיץ קמפיינים של פישינג.
בניגוד לשיטות הישנות שבהן הודעות זדוניות נחסמו על ידי מסנני ספאם, השיטה הנוכחית מאפשרת לתוקפים "לרכוב" על המוניטין הגבוה של דומיינים של גוגל, מה שהופך את התקיפה לכמעט בלתי ניתנת לזיהוי עבור מערכות הגנה סטנדרטיות.
הנדסה חברתית בשילוב תשתית אמינה
התוקפים מנצלים את האפשרות של Google Cloud לשלוח הודעות דוא"ל אוטומטיות (כמו הזמנות לשיתוף פעולה בפרויקטים או עדכוני מערכת). מכיוון שהמיילים הללו נשלחים מהשרתים הרשמיים של גוגל, הם מגיעים עם אישורי אבטחה מלאים (כמו SPF ו-DKIM), מה שמבטיח שהם ינחתו ישירות בתיבת הדואר הנכנס (Inbox) ולא בתיקיית הספאם.
שלבי התקיפה
- יצירת פרויקט מזויף: התוקפים מקימים פרויקט ב-Google Cloud עם שם שנראה רשמי (לדוגמה: "Security Update Priority").
- שליחת הזמנה: המערכת של גוגל שולחת אימייל אוטומטי לקורבנות המזמין אותם לצפות בפרויקט.
- הפניה זדונית: בתוך פרטי הפרויקט או הקישורים המצורפים אליו, מוטמנת כתובת URL שמובילה לדף פישינג מתוחכם המעוצב כדף כניסה לארגון או לשירותי Microsoft 365.
- גניבת אישורים: ברגע שהמשתמש מזין את פרטי ההתחברות שלו, הם נשלחים ישירות לשרתי התוקפים.
עקיפת פתרונות אבטחה (Secure Email Gateways)
האתגר הגדול ביותר עבור מנהלי IT הוא שפתרונות אבטחת דוא"ל רבים סומכים באופן אוטומטי על הודעות המגיעות מכתובות של google.com. התוקפים מנצלים את "פרצת האמון" הזו כדי להחדיר קישורים זדוניים לארגונים מבלי לעורר שום התראה. הקמפיין הוגדר כ"רב-שלבי" כיוון שהקישור הראשוני הוא לגיטימי לחלוטין (קישור לגוגל), והתוכן הזדוני מופיע רק בשלב מאוחר יותר בשרשרת.
המלצות לארגונים
מומחי האבטחה מדגישים כי הדרך היחידה להתמודד עם איומים מסוג זה היא שילוב של מודעות עובדים ובדיקת תוכן דינמית.
- בדיקת מקורות: יש להדריך משתמשים שלא לאשר הזמנות לפרויקטים בענן ממקורות לא מוכרים, גם אם האימייל נראה רשמי מגוגל.
- הגנת Zero-Trust: יישום גישה שבה כל קישור נבדק בזמן אמת (Time-of-click analysis), ללא קשר למוניטין של הדומיין ממנו הגיע האימייל.
