Advarer brugere: Hackere udnytter Google til svindel

I stedet for at udgive sig for kendte brands misbruger de cyberkriminelle reelle cloud-værktøjer, som folk allerede har tillid til. Eksperter siger, at hackere for nylig overtog en legitim funktion i Google Cloud til netop dette formål.

Resultatet var tusindvis af phishing-beskeder, der så ud til at være og virkede som normale Google-notifikationer. Mange af dem gled nemt forbi spamfiltre. Det skriver Fox News.

Sådan fungerede det

I centrum for kampagnen stod Google Cloud Application Integration. Denne tjeneste gør det muligt for virksomheder at sende automatiske e-mailnotifikationer fra de arbejdsgange, de opbygger.

Hackerne udnyttede funktionen ‘Send Email’ i systemet, og fordi beskederne kom fra en ægte Google-adresse, fremstod de som autentiske både for brugere og sikkerhedsværktøjer.

Ifølge det globale cybersikkerhedsfirma Check Point, der overvåger og analyserer diverse trusler, blev de mange e-mails sendt fra en legitim Google-ejet adresse og matchede Googles notifikationer rigtig godt. Både skrifttyper, formuleringer og layout så rigtigt ud.

Over en periode på to uger i december 2025 sendte hackerne mere end 9.000 phishing-mails rettet mod omkring 3.200 organisationer i USA, Europa, Canada, Asien og Latinamerika.

Hvorfor det var så overbevisende

Beskederne lignede almindelige arbejdsrelaterede advarsler. Nogle hævdede, at man havde modtaget en telefonsvarer. Andre sagde, at man havde fået adgang til et delt dokument, for eksempel en Q4-fil.

Den normale tone var med til at sænke folks mistanke markant. Mange er nemlig vant til at se netop disse beskeder hver dag.

Endnu mere bekymrende var det, at de tusindvis af e-mails gik uden om almindelig beskyttelse som SPF og DMARC, fordi de blev sendt gennem Googles egen infrastruktur. For de forskellige e-mailsystemer så intet ud til at være falsk.

Hvad der sker, når man klikker

Angrebet stoppede ikke ved selve e-mailen. Når et offer klikkede på linket, blev han eller hun sendt til en side, der var hostet på storage.cloud.google.com. Det gav endnu et lag af troværdighed. Derfra blev linket omdirigeret videre til googleusercontent.com.

Herefter kom en falsk CAPTCHA- eller billedkontrol. Dette trin blokerede automatiske sikkerhedsscannere, men lod rigtige brugere fortsætte.

Når denne skærm var passeret, landede ofrene på en falsk Microsoft-login-side, der var hostet på et ikke-Microsoft-domæne. Alle loginoplysninger, der blev indtastet der, blev opsnappet af angriberne.

Hvem blev målrettet?

Check Point siger, at kampagnen især var rettet mod brancher, der er afhængige af automatiske notifikationer og delte dokumenter. Det omfattede produktion, teknologi, finans, professionelle tjenester og detailhandel.

Andre sektorer som sundhedsvæsen, uddannelse, offentlige myndigheder, energi, rejser og medier blev også ramt. I disse miljøer er der konstant anmodninger om tilladelser og beskeder om fildeling, hvilket fik disse e-mails til at virke helt normale.

“Vi har blokeret flere phishing-kampagner, der involverer misbrug af en e-mailnotifikationsfunktion i Google Cloud Application Integration,” sagde en Google-talsmand til Cyberguy.

“Det er vigtigt at understrege, at denne aktivitet stammede fra misbrug af et værktøj til automatisering af arbejdsgange, og ikke fra et brud på Googles infrastruktur.”

“Selvom vi har indført beskyttelse for at forsvare brugere mod dette specifikke angreb, opfordrer vi fortsat til forsigtighed, da ondsindede aktører ofte forsøger at efterligne betroede brands. Vi tager yderligere skridt for at forhindre yderligere misbrug.”