Иногда самые опасные фишинговые атаки выглядят так, будто в них вообще нет ничего подозрительного. Ни странного домена, ни кривого дизайна, ни «срочно подтвердите пароль». Именно такой кейс недавно описали исследователи Check Point — и он отлично показывает, как сегодня эволюционирует фишинг.
Речь идёт о кампании, в которой злоумышленники использовали легитимные возможности автоматизации Google Cloud, а не взлом или подмену инфраструктуры. Письма приходили с настоящего адреса Google — noreply-application-integration@google.com — и выглядели как обычные корпоративные уведомления: голосовая почта, доступ к файлу, расшаренный документ.
По данным Check Point, за две недели было разослано почти 9,5 тысячи таких писем, нацеленных примерно на 3 200 организаций. И именно это делает кейс особенно показательным: технически письма были «чистыми» и без проблем проходили почтовые фильтры.
Как работала атака
В основе кампании — злоупотребление функцией Google Cloud Application Integration, предназначенной для автоматизации рабочих процессов и системных уведомлений. Этот инструмент позволяет интеграциям отправлять письма произвольным получателям. Google не был скомпрометирован, но его инфраструктура стала частью атакующей цепочки.
Для получателя письмо выглядело максимально привычно. Ничего, что выбивалось бы из повседневной рутины: знакомый стиль Google, корректный язык, типовые формулировки. Именно на этом и строился расчёт — сотрудник не ищет подвох там, где привык доверять.
Дальше начиналась многоступенчатая схема переходов. Сначала пользователь попадал на storage.cloud.google.com — официальный сервис Google Cloud, который сразу снижает уровень настороженности. Затем следовало перенаправление на googleusercontent.com с поддельной CAPTCHA или «проверкой», отсекающей автоматические системы защиты. И только после этого человек оказывался на фальшивой странице входа в Microsoft, где его учётные данные уходили злоумышленникам.
Это важный момент: атака сочетает доверенную облачную инфраструктуру, защиту от автоматического анализа и качественную имитацию бренда. Именно такие цепочки сегодня и дают максимальный результат.
Почему это сработало
Согласно данным исследования, чаще всего атака была нацелена на компании из производственного сектора, SaaS и технологий, финансовой сферы, консалтинга и ритейла. Это те отрасли, где автоматические уведомления, доступы и расшаренные документы — часть повседневной работы.
Географически больше всего пострадали компании в США, Европе и Азиатско-Тихоокеанском регионе, но кампания имела глобальный характер.
И здесь важно понимать главное: классические рекомендации больше не спасают. Проверка домена, репутации отправителя или «подозрительного дизайна» в этом кейсе не работает. Письмо приходит из легитимной инфраструктуры и выглядит ровно так, как должно выглядеть настоящее уведомление Google.
Что с этим делать бизнесу
Google уже подтвердил злоупотребление своим инструментом автоматизации и заявил о принятых мерах. Но этот кейс — не про конкретную уязвимость. Он про тренд.
Фишинг всё чаще маскируется под нормальные рабочие процессы и использует доверенные сервисы: облака, SaaS-платформы, корпоративные уведомления. В таких условиях единственным по-настоящему устойчивым уровнем защиты остаётся подготовленный сотрудник.
Когда человек понимает, что даже письмо от Google может быть частью атаки, он обращает внимание не только на домен, но и на контекст, логику запроса и поведение ссылки. Именно этому и должно учить современное обучение по кибербезопасности — не «не кликайте», а думайте в реальных рабочих сценариях.
Этот кейс — ещё одно напоминание: фишинг больше не выглядит как фишинг. И именно поэтому защита начинается не в почтовом фильтре, а в голове сотрудника.