Bilgisayar korsanları, Google Görevler bildirimlerinden yararlanarak başta imalat sektörü olmak üzere dünya çapında 3.000’den fazla kuruluşu hedef alan karmaşık bir kimlik avı kampanyası başlattı.
Aralık 2025 saldırıları, e-posta tabanlı tehditlerde tehlikeli bir değişime işaret ediyor; saldırganlar, alan adlarını sahtekarlık yapmak veya e-posta başlıklarını taklit etmek yerine meşru Google altyapısını kötüye kullanıyor.
Kimlik avı e-postaları, [email protected] meşru bir Google adresinden kaynaklandı ve SPF, DKIM, DMARC ve CompAuth dahil tüm önemli e-posta kimlik doğrulama protokollerini başarıyla geçti.
RavenMail, Cybersecurity News’e verdiği demeçte, bunun, kötü amaçlı mesajların gönderenin itibarına ve etki alanı güvenine dayanan geleneksel e-posta güvenlik ağ geçitlerini atlamasına izin verdiğini söyledi.
E-postalar, acil çalışan doğrulaması isteyen “Tüm Çalışanların Görevi” gibi görünen Google Görevler bildirimlerini taklit ediyordu.
Alıcılardan “Görevi görüntüle” veya “Tamamlandı olarak işaretle” etiketli düğmelere tıklamaları istendi ve bu da onları Google Cloud Storage’da barındırılan kötü amaçlı bir sayfaya yönlendirdi.
Kimlik Avı Kampanyası Güvenilir Google Hizmetini Suistimal Ediyor
Saldırganlar, meşru Google altyapısından e-posta göndermek için Google’ın Uygulama Entegrasyon hizmetinden yararlanarak Google’ın yüksek gönderen itibarını ve evrensel izin verilenler listesine ekleme özelliğini devraldı.
Kimlik avı sayfası, tanıdık kullanıcı arayüzü öğeleri, yasal altbilgi metni ve orijinal görünümlü harekete geçirici mesaj düğmeleri dahil olmak üzere Google Görevler markasını yüksek doğrulukla kopyaladı.
Saldırı, kurbanları Google Cloud Storage’da (storage.cloud.google.com) barındırılan URL’lere yönlendirerek geleneksel URL itibarına dayalı algılamayı etkisiz hale getirdi.
Mesajlarda, inceleme gerektirmeden derhal harekete geçmeyi teşvik etmek için otorite çerçevelemesi, aciliyet göstergeleri ve asgari açıklama dahil olmak üzere psikolojik tetikleyiciler kullanıldı. Bu saldırı, e-posta güvenliğine yönelik temel bir sorunu temsil ediyor.
Gönderenin Google olması, kimlik doğrulama kontrollerinin geçmesi, alan adlarına güvenilmesi ve şüpheli eklerin mevcut olmaması nedeniyle geleneksel güvenlik araçları engellenecek hiçbir şey bulamadı.
Tehdit araştırmacıları benzer kampanyaları belgeledi Kimlik bilgilerini toplamak için Google Classroom, Google Forms ve AppSheet’i kötüye kullananlar.
RavenMail, kampanyayı alan adı itibarına güvenmek yerine bağlamsal uyumsuzlukları analiz ederek tespit etti.
Güvenlik platformu, Google Görevler’in İK doğrulaması için kullanıldığının anormal olduğunu ve Cloud Storage URL’lerinin meşru Google Görevler iş akışlarıyla tutarsız olduğunu belirledi. Güvenlik uzmanları bu durumun yalnızca Google’a özgü olmadığı konusunda uyarıyor.
Saldırganlar Salesforce da dahil olmak üzere güvenilir platformları giderek daha fazla kötüye kullanıyor ve Amazon SES, yasal sistemler içerisinde kimlik avı saldırıları gerçekleştirmek için.
Altyapı düzeyindeki kimlik sahtekarlığından iş akışının kötüye kullanılmasına geçiş, kuruluşların e-posta güvenliğini geleneksel kimlik doğrulama sinyallerinin ötesinde yeniden düşünmesini gerektiriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
