A Check Point biztonsági kutatói egy nagyszabású adathalász kampányt tártak fel, amely során a kiberbűnözők a népszerű oktatási platformot, a Google Classroomot használták ki rosszindulatú célokra. A támadás 2025. augusztus 6. és 12. között zajlott, és mindössze egy hét alatt több mint 115 000 adathalász e-mailt küldtek szét világszerte.
Célzott és koordinált támadás
A kampány közel 13 500 szervezetet érintett, különféle iparágakban: oktatás, pénzügy, egészségügy, valamint ipari szektor. A támadás jelentős része Európában, Észak-Amerikában, a Közel-Keleten és Ázsiában történt.
A támadás módszertana: a Google Classroom bizalmának kihasználása
A támadók a Google Classroom egyik alapfunkcióját, a meghívásos csatlakozási rendszert használták ki. A megtévesztő e-mailek úgy tűntek, mintha valódi tantermi meghívók lennének, és a Google megbízhatóságát kihasználva képesek voltak megkerülni a hagyományos e-mail szűrőket (pl. SPF, DKIM, DMARC ellenőrzéseket). A meghívók Google domainről származtak, ami csökkentette a kockázatát annak, hogy a levelek fennakadjanak az e-mail biztonsági rendszereken (EDR, SEG). A levelek valójában kereskedelmi csalikat tartalmaztak, például termékértékesítésre, SEO szolgáltatásokra vagy kétes befektetésekre buzdítottak.
Többlépcsős csalási stratégia
A támadók a levelekben WhatsApp elérhetőségeket adtak meg kapcsolatfelvételre, így a kommunikáció kikerült a vállalati felügyelet alól. Ez a taktika jellemző az ún. “advanced persistent scam” típusú csalásokra, ahol a cél a hosszabb távú megtévesztés, és a felhasználók pszichológiai manipulálása (pl. kíváncsiság vagy sürgetés érzése révén). A támadók valószínűleg automatizált módszerekkel – például feltört Google-fiókokkal vagy API-visszaéléssel – generálták a Classroom-meghívókat, ami lehetővé tette a kampány gyors méretnövelését anélkül, hogy azonnal feltűnt volna a Google visszaélés-észlelő rendszereiben.
Kihívások a vállalati védelemben
A kampány rávilágít arra, hogy a vállalati biztonságban kritikus kockázatot jelent a nagy szolgáltatók (pl. Google) automatikus megbízhatóságának feltételezése. Sok SIEM és IDS rendszer „fehérlistázza” az ilyen forgalmat, így vakfoltok alakulnak ki, melyeket a támadók kihasználhatnak. Ebben az esetben a támadó e-mailek nem tartalmaztak kártékony kódot vagy ismert exploitokat, kizárólag megtévesztésen (social engineering) alapultak. A kampány különösen alattomos módon időben elosztott hullámokban történt, elkerülve a forgalomalapú riasztásokat.
Ajánlott védekezési intézkedések
A Check Point szerint a hasonló támadások kivédésére az alábbi lépések ajánlottak:
- Többlépcsős hitelesítés (MFA) aktiválása a Google szolgáltatásokhoz.
- Fejlett fenyegetésvédelmi rendszerek (ATP) bevezetése, melyek képesek azonosítani a meghívók metaadataiban lévő rendellenességeket.
- Folyamatos felhasználói tudatossági képzések, különös tekintettel a váratlan, furcsa tartalmú e-mailek felismerésére.
- Gyanús WhatsApp számok vagy földrajzi adatok elemzése, különösen, ha azok olyan régiókból származnak, ahol gyakoriak a csalások.
A jövő védelme: Zero Trust megközelítés
A kampány ismételten megerősíti, hogy a jövőben a zero trust (nulla bizalom) alapú biztonsági architektúrák felé kell elmozdulni, olyan rendszerek felé, amelyek minden kapcsolatot és interakciót hitelesítenek, forrástól függetlenül. Mivel a támadás 2025. augusztus 25-én még mindig aktív maradványhullámokat mutatott, a szervezeteknek haladéktalanul érdemes átvizsgálniuk az e-mail naplókat, például gyanús WhatsApp elérhetőségek vagy Classroom meghívási mintázatok után kutatva.
Összegzés
Ez az eset egy újabb példája annak, hogy a kiberbűnözők hogyan képesek legitimnek tűnő digitális platformokat fegyverként használni, és milyen könnyen megkerülhetők a hagyományos biztonsági rendszerek. A kampány mérete és hatékonysága sürgetővé teszi az intelligens, viselkedésalapú biztonsági modellek bevezetését, valamint a felhasználók folyamatos oktatását.
