
Güvenlik araştırmacıları, saldırganların bu kez Google Cloud altyapısını kullanarak oltalama (phishing) e-postaları gönderdiği dikkat çekici bir kampanyayı ortaya çıkardı. Check Pointe göre saldırganlar, Google Cloud Application Integration servisini kötüye kullanarak e-postaları doğrudan Googlea ait bir adresten gönderdi.
Gönderici adresi noreply-application-integration@google.com olduğu için mailler hem güvenilir görünüyor hem de klasik spam ve phishing filtrelerini büyük ölçüde aşıyor. Mesajlar genellikle sesli mesaj bildirimi, dosya erişim izni veya paylaşılan belge gibi kurumsal hayatta sık görülen bildirimleri taklit ediyor.
Aralık 2025te iki haftalık bir sürede yaklaşık 9.400 phishing maili, 3.200den fazla kullanıcıyı hedef aldı. Kurbanlar ABD, Avrupa, Asya-Pasifik, Kanada ve Latin Amerikaya yayılmış durumda.
Saldırının temelinde, Google Clouddaki Send Email otomasyon özelliği var. Bu özellik normalde entegrasyonlar için tasarlanmış olsa da, saldırganlar bunu kullanarak Google alan adlarından mail atmayı başarmış. Böylece SPF ve DMARC gibi kontroller fiilen etkisiz kalmış.
Maildeki linke tıklayan kullanıcı önce storage.cloud.google.com üzerinden bir sayfaya yönlendiriliyor, ardından googleusercontent.com üzerinde sahte bir CAPTCHA veya görsel doğrulama ekranı çıkıyor. Bu adım, güvenlik tarayıcılarını engelleyip gerçek kullanıcıyı ayıklamak için kullanılıyor. Son aşamada ise kullanıcı, Microsofta benzer sahte bir giriş sayfasına yönlendirilerek kimlik bilgilerini kaptırıyor.
Check Pointe göre kampanya özellikle üretim, teknoloji, finans, profesyonel hizmetler ve perakende sektörlerini hedef aldı. Bunun nedeni, bu sektörlerin zaten otomatik bildirimlere ve dosya paylaşım maillerine alışık olması.
Google, olayın ortaya çıkmasının ardından Application Integration üzerinden mail gönderimini istismar eden bu yöntemi engellediğini ve ek önlemler aldığını açıkladı.
Özetle: Bu saldırı, klasik sahte gönderici yerine meşru bulut servislerinin kötüye kullanılmasının ne kadar etkili olabildiğini net şekilde gösteriyor. Mail Googledan geliyorsa bile, içeriğe otomatik güvenmemek artık şart.
