27/08/25
По данным Check Point, с 6 по 12 августа злоумышленники провели пять согласованных волн рассылки и отправили свыше 115 тысяч писем более чем в 13,5 тысяч организаций по всему миру. Под удар попали компании из сферы образования, здравоохранения, финансов и промышленности, особенно в Европе, Северной Америке, на Ближнем Востоке и в Азии, пишет Securitylab.
Особенность схемы заключалась в том, что киберпреступники использовали доверие к инфраструктуре Google Classroom. Сообщения выглядели как приглашения к подключению к виртуальным классам и формально приходили с подлинных доменов Google, что позволяло им обходить SPF, DKIM и DMARC-проверки, а также многие корпоративные шлюзы защиты почты. Благодаря этому рассылка долго оставалась незамеченной и проходила через фильтры безопасности.
Вместо учебных материалов письма содержали предложения, никак не связанные с образованием, например коммерческие оферты по перепродаже товаров, продвижению сайтов или сомнительные инвестиционные проекты. Каждое из них включало призыв связаться с авторами через указанный номер WhatsApp. Такой приём переводил общение в неконтролируемый канал и лишал организации возможности отследить активность мошенников.
Техническая часть операции строилась на автоматизированной генерации приглашений, что, по оценке специалистов, могло выполняться через скомпрометированные аккаунты или API-запросы. Это позволило быстро масштабировать рассылку, не вызывая мгновенной реакции со стороны систем Google. При этом в самих письмах не было вредоносного кода или вложений — кампания базировалась исключительно на социальной инженерии и психологическом давлении.
Организации столкнулись с тем, что привычные модели доверия к крупным провайдерам сыграли против них. Трафик от Google по умолчанию часто добавляется в белые списки систем мониторинга, что создало серьёзный пробел в защите. Авторы рассылки распределяли волны так, чтобы имитировать естественные пики активности и не попадать под пороговые срабатывания антиспам-систем.
Check Point предупреждает, что атака может иметь последствия и для экосистемы Google Workspace, так как Classroom интегрирован с другими сервисами. В случае успешного обмана пользователей существует риск последующего проникновения в корпоративные сети и дальнейшего распространения. Исследователи также отмечают связь подобных схем с аффилированными мошенническими сетями, связанными с разновидностями бизнес-компрометации почты (BEC).
В качестве мер защиты компании призывают использовать многофакторную аутентификацию для сервисов Google, внедрять дополнительные уровни проверки приглашений и обучать сотрудников распознавать подозрительные сообщения. Отмечается, что даже отсутствие вредоносного кода в рассылке не делает её менее опасной, так как основной упор был сделан на психологическое воздействие и использование доверенной платформы в качестве «троянского коня».
На момент публикации отчёта Check Point специалисты наблюдали остаточные волны рассылки, поэтому организациям рекомендуется пересмотреть журналы электронной почты и искать признаки взлома, включая характерные номера WhatsApp и нетипичные приглашения в Google Classroom.
