Güvenlik araştırmacıları, saldırganların bu kez
Google Cloud altyapısını kullanarak oltalama (phishing) e-postaları gönderdiği dikkat çekici bir kampanyayı ortaya çıkardı. Check Pointe göre saldırganlar,
Google Cloud Application Integration servisini kötüye kullanarak e-postaları doğrudan Googlea ait bir adresten gönderdi.
Gönderici adresi
noreply-application-integration@google.com olduğu için mailler hem güvenilir görünüyor hem de klasik spam ve phishing filtrelerini büyük ölçüde aşıyor. Mesajlar genellikle sesli mesaj bildirimi, dosya erişim izni veya paylaşılan belge gibi kurumsal hayatta sık görülen bildirimleri taklit ediyor.
Aralık 2025te iki haftalık bir sürede yaklaşık
9.400 phishing maili,
3.200den fazla kullanıcıyı hedef aldı. Kurbanlar ABD, Avrupa, Asya-Pasifik, Kanada ve Latin Amerikaya yayılmış durumda.
Saldırının temelinde, Google Clouddaki
Send Email otomasyon özelliği var. Bu özellik normalde entegrasyonlar için tasarlanmış olsa da, saldırganlar bunu kullanarak
Google alan adlarından mail atmayı başarmış. Böylece SPF ve DMARC gibi kontroller fiilen etkisiz kalmış.
Maildeki linke tıklayan kullanıcı önce
storage.cloud.google.com üzerinden bir sayfaya yönlendiriliyor, ardından
googleusercontent.com üzerinde sahte bir CAPTCHA veya görsel doğrulama ekranı çıkıyor. Bu adım, güvenlik tarayıcılarını engelleyip gerçek kullanıcıyı ayıklamak için kullanılıyor. Son aşamada ise kullanıcı, Microsofta benzer sahte bir giriş sayfasına yönlendirilerek kimlik bilgilerini kaptırıyor.
Check Pointe göre kampanya özellikle
üretim, teknoloji, finans, profesyonel hizmetler ve perakende sektörlerini hedef aldı. Bunun nedeni, bu sektörlerin zaten otomatik bildirimlere ve dosya paylaşım maillerine alışık olması.
Google, olayın ortaya çıkmasının ardından Application Integration üzerinden mail gönderimini istismar eden bu yöntemi
engellediğini ve ek önlemler aldığını açıkladı.
Özetle: Bu saldırı, klasik sahte gönderici yerine
meşru bulut servislerinin kötüye kullanılmasının ne kadar etkili olabildiğini net şekilde gösteriyor. Mail Googledan geliyorsa bile, içeriğe
otomatik güvenmemek artık şart.