Una recente campagna di phishing ha dimostrato quanto sia efficace sfruttare servizi cloud considerati affidabili per superare i controlli di sicurezza email. Gli attaccanti hanno abusato di una funzionalità di Google Cloud chiamata Application Integration, in particolare del compito Send Email, per inviare messaggi da un indirizzo legittimo su dominio Google come noreply application integration google com. Questo dettaglio aumenta drasticamente la credibilità delle comunicazioni e aiuta a bypassare i filtri antispam e le soluzioni di email security basate sulla reputazione del mittente.
Secondo le analisi, in un periodo di circa 14 giorni sono state inviate 9394 email di phishing verso circa 3200 destinatari distribuiti tra Stati Uniti, area Asia Pacifico, Europa, Canada e America Latina. Le esche erano studiate per sembrare notifiche aziendali di routine, ad esempio avvisi di segreteria telefonica, richieste di accesso a file condivisi o aggiornamenti di permessi su documenti. La forma e lo stile riprendevano il layout tipico delle notifiche Google, con linguaggio e impaginazione familiari, spingendo l’utente a cliccare rapidamente.
Uso di domini Google nella catena di reindirizzamento
Il punto chiave della tecnica è l’uso di risorse Google Cloud anche nella catena di reindirizzamento. Il link iniziale risultava ospitato su storage cloud google com, un altro dominio considerato sicuro dagli utenti e spesso trattato con fiducia anche da alcuni controlli automatici. Da lì la vittima veniva reindirizzata verso contenuti serviti da googleusercontent com, dove compariva una finta verifica tipo captcha o controllo basato su immagine. Questo passaggio ha una funzione precisa nella sicurezza informatica offensiva: ostacolare scanner automatici e strumenti di analisi che potrebbero individuare la pagina malevola.
Obiettivo: furto di credenziali Microsoft
Superata la verifica, l’utente veniva portato su una falsa pagina di login Microsoft ospitata su un dominio non Microsoft, con l’obiettivo di rubare credenziali. Il rischio principale è il furto di account aziendali, con possibili accessi non autorizzati a email, file, sistemi interni e servizi cloud.
Settori maggiormente colpiti
I settori più colpiti includono manifatturiero, tecnologia, finanza, servizi professionali e retail, ma sono stati osservati bersagli anche in media, istruzione, sanità, energia, pubblica amministrazione, viaggi e trasporti, contesti dove notifiche automatiche e workflow di condivisione documenti sono molto comuni.
