Οι hackers εξαπέλυσαν μια ιδιαίτερα εξελιγμένη επίθεση phishing, εκμεταλλευόμενοι τις ειδοποιήσεις του Google Tasks, με στόχο περισσότερους από 3.000 οργανισμούς παγκοσμίως, κυρίως στον βιομηχανικό τομέα.
Οι επιθέσεις του Δεκεμβρίου 2025 σηματοδοτούν μια επικίνδυνη μετατόπιση στις απειλές μέσω email, καθώς οι επιτιθέμενοι δεν πλαστογραφούν πλέον domains ή headers, αλλά καταχρώνται νόμιμη υποδομή της Google.
Τα phishing emails προέρχονταν από τη νόμιμη διεύθυνση noreply-application-integration@google.com
και περνούσαν επιτυχώς όλα τα βασικά πρωτόκολλα ελέγχου ταυτότητας email, όπως SPF, DKIM, DMARC και CompAuth.
Αυτό επέτρεψε στα κακόβουλα μηνύματα να παρακάμψουν τα παραδοσιακά email security gateways, τα οποία βασίζονται στη φήμη αποστολέα και στην εμπιστοσύνη του domain, σύμφωνα με τη RavenMail.
Επίθεση βασισμένη σε ειδοποιήσεις Google Tasks
Τα emails προσποιούνταν ειδοποιήσεις του Google Tasks και εμφάνιζαν μια υποτιθέμενη «εργασία για όλους τους εργαζομένους», ζητώντας επείγουσα επιβεβαίωση στοιχείων προσωπικού.
Οι παραλήπτες καλούνταν να πατήσουν κουμπιά όπως «προβολή εργασίας» ή «ολοκλήρωση», τα οποία τους ανακατεύθυναν σε κακόβουλη σελίδα που φιλοξενούνταν στο Google Cloud Storage.
Εκμετάλλευση αξιόπιστης υπηρεσίας της Google
Οι επιτιθέμενοι χρησιμοποίησαν την υπηρεσία Application Integration της Google για να στείλουν emails μέσω νόμιμης υποδομής της εταιρείας, κληρονομώντας έτσι την υψηλή φήμη αποστολέα και τη γενικευμένη αποδοχή της Google από τα φίλτρα ασφαλείας.
Η phishing σελίδα αντέγραφε με μεγάλη ακρίβεια την εμφάνιση του Google Tasks, συμπεριλαμβανομένων οικείων στοιχείων διεπαφής, αυθεντικού footer και πειστικών κουμπιών παρότρυνσης για ενέργεια.
Η επίθεση ανακατεύθυνε τα θύματα σε URLs που φιλοξενούνταν στο storage.cloud.google.com, καθιστώντας αναποτελεσματικά τα παραδοσιακά συστήματα ανίχνευσης που βασίζονται στη φήμη των URLs.
Τα μηνύματα αξιοποιούσαν ψυχολογικούς μηχανισμούς, όπως επίκληση αυθεντίας, αίσθηση επείγοντος και ελάχιστες εξηγήσεις, ώστε να ωθήσουν τους χρήστες σε άμεση ενέργεια χωρίς έλεγχο. Η επίθεση αυτή αποτελεί θεμελιώδη πρόκληση για την ασφάλεια email.
Δεδομένου ότι ο αποστολέας ήταν η Google, οι έλεγχοι ταυτότητας περνούσαν κανονικά, τα domains θεωρούνταν αξιόπιστα και δεν υπήρχαν ύποπτα συνημμένα, με αποτέλεσμα τα συμβατικά εργαλεία ασφαλείας να μην εντοπίζουν κάτι προς αποκλεισμό.
Ερευνητές απειλών έχουν καταγράψει παρόμοιες καμπάνιες που καταχρώνται το Google Classroom, το Google Forms και το AppSheet για την υποκλοπή διαπιστευτηρίων.
Ανίχνευση μέσω ανάλυσης συμπεριφοράς
Η RavenMail εντόπισε την καμπάνια αναλύοντας ασυμφωνίες στο πλαίσιο χρήσης και όχι τη φήμη του domain.
Η πλατφόρμα ασφαλείας διαπίστωσε ότι η χρήση του Google Tasks για επαλήθευση στοιχείων HR ήταν μη φυσιολογική, ενώ τα URLs του Cloud Storage δεν ταίριαζαν με τις νόμιμες ροές εργασίας του Google Tasks. Οι ειδικοί προειδοποιούν ότι το φαινόμενο δεν περιορίζεται στη Google.
Οι επιτιθέμενοι καταχρώνται όλο και περισσότερο αξιόπιστες πλατφόρμες, όπως το Salesforce και το Amazon SES, για να παραδίδουν phishing επιθέσεις μέσα από νόμιμα οικοσυστήματα.
Η μετάβαση από την πλαστογράφηση υποδομών στην κατάχρηση ροών εργασίας αναγκάζει τους οργανισμούς να επανεξετάσουν την ασφάλεια email πέρα από τα παραδοσιακά σήματα ελέγχου ταυτότητας.
