Güvenlik araştırmacıları, saldırganların bu kez Google Cloud altyapısını kullanarak oltalama (phishing) e-postaları gönderdiği dikkat çekici bir kampanyayı ortaya çıkardı. Check Point’e göre saldırganlar, Google Cloud Application Integration servisini kötüye kullanarak e-postaları doğrudan Google’a ait bir adresten gönderdi.


Gönderici adresi noreply-application-integration@google.com olduğu için mailler hem güvenilir görünüyor hem de klasik spam ve phishing filtrelerini büyük ölçüde aşıyor. Mesajlar genellikle “sesli mesaj bildirimi”, “dosya erişim izni” veya “paylaşılan belge” gibi kurumsal hayatta sık görülen bildirimleri taklit ediyor.


Aralık 2025’te iki haftalık bir sürede yaklaşık 9.400 phishing maili, 3.200’den fazla kullanıcıyı hedef aldı. Kurbanlar ABD, Avrupa, Asya-Pasifik, Kanada ve Latin Amerika’ya yayılmış durumda.


Saldırının temelinde, Google Cloud’daki “Send Email” otomasyon özelliği var. Bu özellik normalde entegrasyonlar için tasarlanmış olsa da, saldırganlar bunu kullanarak Google alan adlarından mail atmayı başarmış. Böylece SPF ve DMARC gibi kontroller fiilen etkisiz kalmış.


Maildeki linke tıklayan kullanıcı önce storage.cloud.google.com üzerinden bir sayfaya yönlendiriliyor, ardından googleusercontent.com üzerinde sahte bir CAPTCHA veya görsel doğrulama ekranı çıkıyor. Bu adım, güvenlik tarayıcılarını engelleyip gerçek kullanıcıyı ayıklamak için kullanılıyor. Son aşamada ise kullanıcı, Microsoft’a benzer sahte bir giriş sayfasına yönlendirilerek kimlik bilgilerini kaptırıyor.


Check Point’e göre kampanya özellikle üretim, teknoloji, finans, profesyonel hizmetler ve perakende sektörlerini hedef aldı. Bunun nedeni, bu sektörlerin zaten otomatik bildirimlere ve dosya paylaşım maillerine alışık olması.


Google, olayın ortaya çıkmasının ardından Application Integration üzerinden mail gönderimini istismar eden bu yöntemi engellediğini ve ek önlemler aldığını açıkladı.
Özetle: Bu saldırı, klasik “sahte gönderici” yerine meşru bulut servislerinin kötüye kullanılmasının ne kadar etkili olabildiğini net şekilde gösteriyor. Mail Google’dan geliyorsa bile, içeriğe otomatik güvenmemek artık şart.