A Check Point kiberbiztonsági kutatói szerint ismét visszaélnek legitim Google-szolgáltatásokkal adathalász támadások során. Egy frissen közzétett jelentés alapján két hét alatt közel 10 000 megtévesztő e-mailt küldtek ki mintegy 3 200 vállalatnak. Az üzenetek a noreply-application-integration@google.com címről érkeztek, ami arra utal, hogy a támadók a Google Cloud Application Integration szolgáltatását használták fel, kihasználva annak jó hírnevét és megbízható küldői infrastruktúráját.
A Google Cloud Application Integration egy felügyelt felhőszolgáltatás, amely lehetővé teszi alkalmazások, API-k és adatforrások összekapcsolását egyedi kód írása nélkül. A támadók nem a Google rendszereit törték fel, hanem saját vagy kompromittált Google Cloud-projekteket hoztak létre, és automatizált munkafolyamatokat állítottak be, amelyek hitelesnek tűnő értesítéseket küldtek. Az e-mailek megjelenése és nyelvezete szorosan követte a Google hivatalos értesítéseit, gyakori csaliként például függőben lévő hangüzeneteket vagy megosztott dokumentumokról szóló értesítéseket használtak.
A levelekben található hivatkozások először a storage.google.cloud.com oldalra mutattak, majd a googleusercontent.com domaineken keresztül egy hamis CAPTCHA-n át végül egy megtévesztő Microsoft bejelentkezési oldalra irányították az áldozatokat, ahol ellophatták a belépési adataikat. A legtöbb érintett az Egyesült Államokban volt, főként a gyártás, a technológiai és a pénzügyi szektorban. A Google közölte, hogy több ilyen adathalász kampányt már letiltottak, és hangsúlyozta: az esetek a munkafolyamat-automatizáló eszközök kihasználásából fakadtak, nem pedig a vállalat infrastruktúrájának kompromittálásából, ugyanakkor további lépéseket tesznek a hasonló visszaélések megelőzésére.
