Popüler bir eğitim platformu olan Google Classroom, Check Point araştırmacıları tarafından keşfedilen karmaşık bir operasyonda büyük bir kimlik avı kampanyası başlatmaları için tehdit aktörleri tarafından kullanıldı.
6 Ağustos – 12 Ağustos 2025 arasındaki bir hafta boyunca, saldırganlar beş koordineli dalgada 115.000’den fazla kötü amaçlı e -postayı yaydı ve küresel olarak yaklaşık 13.500 kuruluşu hedef aldı.
Bu varlıklar, Avrupa, Kuzey Amerika, Orta Doğu ve Asya’da ağır konsantrasyonlarla eğitim, finans, sağlık ve üretim dahil olmak üzere çeşitli sektörleri kapsamaktadır.
Benzeri görülmemiş kimlik avı kampanyası
Kampanyanın başarısı, Google Classroom’un altyapısıyla ilişkili doğal güvenden yararlanmaya yöneliktir ve bu da davetiyeler ve öğrenciler arasında davetiyeye dayalı mekanizmalar yoluyla sorunsuz iletişimi kolaylaştırır.
Meşru sınıf birleştirme istekleri olarak maskelenerek, kimlik avı e -postaları, birçok e -posta güvenlik ağ geçidi tarafından ilk algılamadan kaçınarak, aksi takdirde yırtılmış kökenleri işaretleyebilecek SPF, DKIM ve DMARC doğrulamaları gibi geleneksel filtreleri atlamak için platformun itibarını kullandı.
Bu saldırının teknik yaratıcılığı, Google Classroom’un temel işlevselliğini kötüye kullanmasında yatmaktadır.
Platformdan gelen davetiyeler, uç nokta algılama ve yanıt (EDR) sistemleri veya güvenli e -posta ağ geçitleri (SEG’ler) ile otomatik ret olasılığını azaltan doğrulanmış Google alanlarından kaynaklanan iyi huylu olarak algılanır.
Saldırganlar, alıcıları daha da ilgilenmeye ikna etmek için tasarlanmış ürün yeniden satma, SEO optimizasyon hizmetleri veya şüpheli yatırım fırsatları gibi bu davetiyelere ilgisiz ticari yemleri yerleştiler.
Her e-posta, kurbanları, etkileşimi kurumsal görünürlük dışındaki kontrolsüz kanallara kaydıran gelişmiş kalıcı dolandırıcılıklarda ortak bir taktik olan belirli bir WhatsApp telefon numarası aracılığıyla dolandırıcılarla iletişime geçmeye yönlendiren bir eylem çağrısı içeriyordu.
Bu çok aşamalı yaklaşım sadece organizasyonel izleme araçlarını söndürmekle kalmaz, aynı zamanda insan faktörlerinden de yararlanır ve görünüşte resmi eğitim bildirimlerinin neden olduğu meraktan veya aciliyetten yararlanır.
Check Point’in analizi, kampanyanın teslimat yönteminin, Google’ın istismar algılama algoritmalarından hemen kırmızı bayraklar olmadan hızlı ölçeklendirmeye izin vererek, tehlikeye atılmış Google hesapları veya API kötüye kullanımı yoluyla potansiyel olarak otomatik olarak bu davetiyelerin programlı üretimini içerdiğini ortaya koymaktadır.
Kurumsal Güvenlik için Çıkarımlar
Savunma açısından bakıldığında, kampanya yalnızca alan adına dayalı güven modellerine güvenmek için kritik güvenlik açıklarının altını çiziyor.
Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) Sistemleri ve Saldırı Algılama Sistemleri (IDS) Genellikle Google gibi büyük sağlayıcıların beyaz listesi trafiğini, tehdit aktörlerinin sömürebileceği kör noktalar oluşturur.
Bu durumda, kimlik avı e -postalarının yükleri, gömülü kötü amaçlı yazılım veya istismar kitlerinden yoksun kodda doğal olarak kötü niyetli değildi, ancak kurbanları dış dolandırıcılık planlarına yönlendirmek için sosyal mühendisliğe güveniyordu.
Araştırmacılar, hacimsel uyarıları tetiklemekten kaçınmak için dalgaların geçici olarak aralıklı olduğunu ve her bir dalgalanmanın organik trafik modellerini taklit etmek için farklı aralıklarla zirveye çıktığını belirtti.
Kuruluşlar için bu, e -posta güvenliğinde gelişmiş davranışsal analiz ihtiyacını vurgular, eşleşmeyen içerik (örneğin, eğitim bağlamlarında ticari teklifler) veya bu durumda bilinen Scam operasyonlarıyla ilişkili bölgelere dayanan WhatsApp sayılarına bağlı olağandışı coğrafi konum verileri gibi anomalileri tespit eder.
Google Classroom’un Google Workspace ekosistemleriyle entegrasyonu, buradaki bir ihlalin kurumsal ağlar içindeki yanal harekete dönüşebileceği anlamına geldiğinden, daha geniş sonuçlar tedarik zinciri risklerine yayılıyor.
Benzer kampanyaları izleyen tehdit istihbarat platformları, potansiyel olarak iş e -posta uzlaşma (BEC) varyantlarını kullanan daha büyük siber suç sendikalarına bağlı olan bu taktikleri bağlı kurutlama sahtekarlık ağlarına bağladı.
Bu tür tehditleri azaltmak için, işletmelere Google hizmetleri için çok faktörlü kimlik doğrulama (MFA) uygulamaları, davet meta verilerini inceleyen gelişmiş tehdit koruma (ATP) katmanlarını dağıtmaları ve beklenmedik iletişimleri doğrulamaya odaklanan düzenli kullanıcı farkındalık eğitimi almaları önerilir.
Check Point’in bulguları, meşru SaaS platformlarının saldırılar için farkında olmayan kanallar haline geldiği, kaynaktan bağımsız olarak her etkileşimi doğrulayan sıfır tröst mimarilerine geçiş yapmaya çağıran kimlik avı vektörlerinin gelişen doğasını vurgulamaktadır.
25 Ağustos 2025’teki en son izleme itibariyle, artık dalgalar hala aktif olabilir, bu da belirli WhatsApp önekleri veya anormal sınıf davet modelleri gibi uzlaşma göstergeleri (IOC’ler) için e -posta günlüklerinin derhal incelemelerini isteyebilir.
Bu kampanya, tehdit aktörlerinin güvenilir dijital ekosistemleri kullanmaya sürekli olarak nasıl uyum sağladığını ve yaygın etki elde etmek için teknik kaçakçılmayı psikolojik manipülasyonla nasıl harmanladığını hatırlatıyor.
Yaygın engellemeden önce gelen kutulara ulaşan 115.000’den fazla e-posta ile operasyon, bu tür saldırıların ölçeklenebilirliğini ve giderek daha birbirine bağlı bir tehdit manzarasında proaktif, zeka odaklı savunmalara acil ihtiyacı göstermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!