חוקרי אבטחת סייבר של חברת צ'ק פוינט חשפו פרטים על מתקפת דיוג שבה מתחזים פושעי הסייבר לשולחי הודעות לגיטימיות שנוצרו על ידי גוגל, על ידי ניצול לרעה של שירות שילוב היישומים של גוגל קלאוד כדי להפיץ מיילים. מתקפת דיוג זו, מסרה צ'ק פוינט, מנצלת את האמון הקשור לתשתית גוגל קלאוד כדי לשלוח את ההודעות מכתובת דוא"ל לגיטימית noreply-application-integration@google[.]com כדי לאפשר לפושעי הסייבר לעקוף מסנני אבטחת דוא"ל מסורתיים ולקבל סיכוי טוב יותר לנחות בתיבות הדואר הנכנס של המשתמשים.
"המיילים מחקים התראות ארגוניות שגרתיות כגון התראות דואר קולי ובקשות גישה או הרשאה לקבצים, מה שגורם להם להיראות רגילים ואמינים לנמענים", מסרה צ'ק פוינט. פושעי סייבר נצפו שולחים 9,394 מיילי דיוג המכוונים לכ- 3,200 לקוחות במשך תקופה של 14 יום בדצמבר 2025, כאשר הארגונים שנפגעו ממוקמים בארה"ב, אסיה-פסיפיק, אירופה, קנדה ואמריקה הלטינית. בלב מתקפת דיוג זו עומד ניצול לרעה של משימת "שלח דוא"ל" של Application Integration, המאפשרת למשתמשים לשלוח התראות דוא"ל מותאמות אישית מתוך אינטגרציה. גוגל מציינת בתיעוד התמיכה שלה שניתן להוסיף למשימה רק 30 נמענים לכל היותר. העובדה שניתן להגדיר את הדוא"ל הזה כך שיישלח לכל כתובת דוא"ל שרירותית, מדגימה את יכולת פושעי הסייבר לנצל לרעה יכולת אוטומציה לגיטימית לטובתם ולשלוח דוא"ל מדומיינים בבעלות גוגל ובכך, לעקוף ביעילות בדיקות DMARC ו- SPF.
שרשרת ההתקפה היא זרימת ניתוב רב-שלבית המתחילה כאשר לוחץ נמען דוא"ל על קישור המתארח ב- storage.cloud.google[.]com – שירות Google Cloud מהימן נוסף. היבט זה הינו למעשה מאמץ נוסף להפחית את חשדנות המשתמשים ולתת להם מעטה מזויף של לגיטימציה. לאחר מכן מפנה הקישור את המשתמש לתוכן המוגש מ- googleusercontent[.]com ומציג בפניו CAPTCHA מזויף או אימות מבוסס תמונה, הפועל כמחסום על ידי חסימת סורקים אוטומטיים וכלי אבטחה מלבקר את תשתית המתקפה, תוך מתן אפשרות למשתמשים אמיתיים לעבור דרכו. לאחר השלמת שלב האימות מועבר המשתמש לדף כניסה מזויף של מיקרוסופט המתארח בדומיין שאינו של מיקרוסופט, ובסופו של דבר גונב מהמשתמש את אישורי הגישה שהזין (שם משתמש וסיסמא).
בתגובה לממצאים חסמה גוגל את אשרות הדיוג המנצלת לרעה את תכונת התראות הדוא"ל בתוך שילוב יישומי ענן של גוגל והוסיפה, כי היא נוקטת צעדים נוספים כדי למנוע שימוש נוסף לרעה.
ניתוח של צ'ק פוינט גילה כי מתקפת דיוג זו כוונה בעיקר למגזרי הייצור, הטכנולוגיה, הפיננסים, השירותים המקצועיים והקמעונאות וכן, כלפי מדיה, חינוך, בריאות, אנרגיה, ממשלה, נסיעות ותחבורה. "מגזרים אלו מסתמכים בדרך כלל על התראות אוטומטיות, מסמכים משותפים וזרימות עבודה מבוססות הרשאות, מה שהופך את ההתראות של גוגל למשכנעות במיוחד", ציינו חוקרי הסייבר של צ'ק פוינט והדגישו: "מתקפת דיוג זו מדגימה כיצד יכולים פושעי סייבר לעשות שימוש לרעה בתכונות אוטומציה וזרימת עבודה לגיטימיות בענן כדי להפיץ דיוג בקנה מידה גדול ללא זיופים מסורתיים."
