This post is also available in:
English (אנגלית)
צוותי אבטחת דוא"ל נשענים מזה שנים על מוניטין דומיין ואימות שולח כקו ההגנה הראשון מפני מתקפות פישינג. הודעות שמגיעות מדומיינים מוכרים נחשבות בדרך כלל לבעלות סיכון נמוך יותר, מה שמאפשר לארגונים להתמקד בניסיונות התחזות ברורים. הנחת היסוד הזו עומדת כעת למבחן, בעקבות קמפיין פישינג חדש שעושה שימוש בתשתיות ענן לגיטימיות כדי לשלוח הודעות הונאה שנראות אותנטיות לחלוטין.
חוקרי אבטחה זיהו מבצע רחב־היקף שבו תוקפים שלחו אלפי הודעות פישינג מכתובת דוא"ל רשמית של גוגל, המסתיימת ב־@google.com. ההודעות נשלחו מהכתובת [email protected], שנחשבת לכתובת לגיטימית המשמשת שירותי Google Cloud. במהלך תקופה של כשבועיים נמסרו כמעט 9,400 הודעות לכ־3,200 ארגונים, תוך עקיפת מנגנוני גילוי סטנדרטיים רבים, משום שהדומיין ותשתית השליחה היו אמיתיים.
על פי דיווח של CyberNews, הטכניקה אינה כוללת פריצה למערכות גוגל. במקום זאת, התוקפים ניצלו תכונת אוטומציה של תהליכי עבודה בתוך Google Cloud, המאפשרת לאפליקציות לשלוח הודעות התראה בדוא"ל לנמענים שרירותיים. פונקציונליות זו משמשת בדרך כלל להתראות מערכת, שיתופי קבצים והודעות שגרתיות אחרות בסביבות ארגוניות. באמצעות ניצול היכולת הזו, הצליחו התוקפים לנסח הודעות פישינג שדמו מאוד להודעות ארגוניות סטנדרטיות — כגון התראות על תא קולי חדש או בקשות לגישה לקבצים.
שרשרת התקיפה כולה תוכננה להיראות לגיטימית בכל שלב. כאשר נמענים לחצו על קישורים בהודעות, הם הופנו תחילה לדפים שאוחסנו על גבי תשתיות של גוגל עצמה. הפניות המשך הובילו לאתרים המוגשים מדומיין googleusercontent.com, מה שחיזק עוד יותר את תחושת האמון. רק לאחר מעבר של בדיקות CAPTCHA או אימותים מבוססי תמונה — שנועדו לחסום סורקים אוטומטיים — הופנו הקורבנות לדפים בשליטת התוקפים, שהתחזו לפורטלי התחברות של מיקרוסופט, ושם נגנבו פרטי ההתחברות.
הקמפיין מדגיש סיכון מבצעי הולך וגדל: סוכנויות ממשלתיות, מפעילי תשתיות קריטיות וקבלני ביטחון מסתמכים באופן שוטף על פלטפורמות ענן וספקים אמינים לפעילות היומיומית שלהם. מתקפות פישינג המנצלות שירותי ענן לגיטימיים יכולות לעקוף הגנות היקפיות ולפגוע במשתמשים בעלי הרשאות גבוהות, ובכך להגדיל את פוטנציאל הנזק של גניבת זהויות או תנועה רוחבית בתוך רשתות רגישות.
גוגל אישרה את ניצול הפונקציונליות וציינה כי חסמה מספר קמפיינים שעשו שימוש לרעה במנגנון הודעות ההתראה שלה, תוך הדגשה שהבעיה נבעה מניצול כלי אוטומציה — ולא מפריצה למערכות החברה. לדבריה, נוספו שכבות הגנה נוספות כדי להתמודד עם הטכניקה הספציפית הזו.
האירוע מדגיש שינוי רחב יותר בטקטיקות פישינג. ככל שאבטחת הדוא"ל משתפרת, תוקפים עוברים יותר ויותר לשימוש לרעה בשירותים אמינים — במקום לנסות לזייף אותם. עבור ארגונים, המשמעות היא שגם הודעות המגיעות מדומיינים לגיטימיים חייבות להיבחן בזהירות, וניתוח התנהגותי והעלאת מודעות משתמשים הופכים לחשובים לא פחות מאימות השולח הקונבנציונלי.
