Siber güvenlik araştırmacıları, meşru Google desteğini ve bildirimlerini taklit ederek kullanıcıları kimlik bilgilerini teslim etmeye yönlendiren tehlikeli yeni bir kimlik avı kampanyasını ortaya çıkardı.
Saldırı, dünya çapındaki kuruluşlara karşı olağanüstü başarı oranları elde etmek için vishing (sesli kimlik avı), sahte alan adları ve Google’ın kendi güvenilir altyapısını birleştiriyor.
Saldırıda çok katmanlı bir sosyal mühendislik yaklaşımı kullanılıyor. Tehdit aktörleri, Google destek temsilcilerini taklit etmek için ses sahtekarlığı teknolojisini kullanarak telefonla iletişim başlatır.
Bu çağrılar, şüpheli hesap etkinliklerine veya güvenlik kaygılarına atıfta bulunarak aciliyet ve güven oluşturur.
Google Destek Tabanlı Kimlik Avı Kampanyası
Saldırgan daha sonra kurbanları, SPF, DKIM ve DMARC gibi geleneksel e-posta kimlik doğrulama kontrollerini atlayarak meşru Google adreslerinden geliyor gibi görünen takip e-postalarındaki bağlantıları tıklamaya yönlendirir.
Bu kampanyayı özellikle sinsi yapan şey, Google’ın kendi bulut altyapısını kötüye kullanmasıdır.
Saldırganlar, güvenlik filtrelerini tetikleyebilecek sahte alanlar oluşturmak yerine, doğrudan meşru Google altyapısından kimlik avı e-postaları göndermek için Google Cloud Uygulama Entegrasyonu hizmetlerinden yararlanıyor.
Araştırmacılar yalnızca Aralık 2025’te Amerika Birleşik Devletleri, Avrupa, Asya-Pasifik, Kanada ve Latin Amerika’da yaklaşık 3.200 işletmeyi hedef alan 9.000’den fazla kimlik avı e-postasını belgeledi.
Saldırı akışı karmaşık bir yönlendirme zincirini takip eder. Kurbanlar yerleşik bağlantıları tıkladıklarında güvenilir Google Cloud Storage alanlarında barındırılan sayfalara yönlendirilirler ve bu da URL itibar filtrelerinin etkisiz kalmasına neden olur.
Dmitrn Gmilnanets’in bildirdiğine göre bu sayfalar, otomatik güvenlik taramasını engelleyen ve insan kullanıcıların geçişine izin veren sahte CAPTCHA doğrulama ekranlarını gösteriyor.
Doğrulamanın ardından mağdurlar taklit eden kimlik bilgileri toplama sayfalarına yönlendirildi Kullanıcı adlarının ve şifrelerinin çalındığı Google giriş ekranları veya Microsoft 365 arayüzleri.
Güvenlik uzmanları, bulut sağlayıcılarının asla oturum açma kimlik bilgileri istemek veya kullanıcıları harici doğrulama sayfalarına yönlendirmek için iletişim başlatmadığını vurguluyor.
Kullanıcılar, istenmeyen iletişimlerdeki bağlantılara tıklamak yerine her zaman doğrudan kullandıkları resmi hizmet portallarına gitmelidir.
Kuruluşlar çok faktörlü kimlik doğrulamayı (MFA) uygulamalı, bir parola yöneticisinin kullanımını zorunlu kılmalı, oturum açma konumlarını IP aralığına göre kısıtlamalı ve düzenli olarak güvenlik farkındalığı eğitimi sağlamalıdır.
Ek olarak, güvenlik ekiplerinin geleneksel alan adı itibarı savunmalarının ötesine geçmeleri ve kötü niyetli amaçlarla silah haline getirilen meşru altyapıyı belirlemek için davranışsal analiz ve bağlamsal tehdit tespitini uygulamaları gerekir.
Bu kampanya, kimlik avı taktiklerinde kritik bir değişimin altını çiziyor: Saldırganlar, alan adlarını yanıltmak yerine giderek daha fazla meşru platformları kötüye kullanıyor ve bu durum, e-posta güvenlik stratejilerinin temelden yeniden düşünülmesini gerektiriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
