Google Classroom visszaélések: Több mint százezer adathalász e-mail egy hét alatt

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe

A Check Point biztonsági kutatói egy nagyszabású adathalász kampányt tártak fel, amely során a kiberbűnözők a népszerű oktatási platformot, a Google Classroomot használták ki rosszindulatú célokra. A támadás 2025. augusztus 6. és 12. között zajlott, és mindössze egy hét alatt több mint 115 000 adathalász e-mailt küldtek szét világszerte.

Célzott és koordinált támadás

A kampány közel 13 500 szervezetet érintett, különféle iparágakban: oktatás, pénzügy, egészségügy, valamint ipari szektor. A támadás jelentős része Európában, Észak-Amerikában, a Közel-Keleten és Ázsiában történt.

A támadás módszertana: a Google Classroom bizalmának kihasználása

A támadók a Google Classroom egyik alapfunkcióját, a meghívásos csatlakozási rendszert használták ki. A megtévesztő e-mailek úgy tűntek, mintha valódi tantermi meghívók lennének, és a Google megbízhatóságát kihasználva képesek voltak megkerülni a hagyományos e-mail szűrőket (pl. SPF, DKIM, DMARC ellenőrzéseket). A meghívók Google domainről származtak, ami csökkentette a kockázatát annak, hogy a levelek fennakadjanak az e-mail biztonsági rendszereken (EDR, SEG). A levelek valójában kereskedelmi csalikat tartalmaztak, például termékértékesítésre, SEO szolgáltatásokra vagy kétes befektetésekre buzdítottak.

Többlépcsős csalási stratégia

A támadók a levelekben WhatsApp elérhetőségeket adtak meg kapcsolatfelvételre, így a kommunikáció kikerült a vállalati felügyelet alól. Ez a taktika jellemző az ún. “advanced persistent scam” típusú csalásokra, ahol a cél a hosszabb távú megtévesztés, és a felhasználók pszichológiai manipulálása (pl. kíváncsiság vagy sürgetés érzése révén). A támadók valószínűleg automatizált módszerekkel – például feltört Google-fiókokkal vagy API-visszaéléssel – generálták a Classroom-meghívókat, ami lehetővé tette a kampány gyors méretnövelését anélkül, hogy azonnal feltűnt volna a Google visszaélés-észlelő rendszereiben.

Kihívások a vállalati védelemben

A kampány rávilágít arra, hogy a vállalati biztonságban kritikus kockázatot jelent a nagy szolgáltatók (pl. Google) automatikus megbízhatóságának feltételezése. Sok SIEM és IDS rendszer „fehérlistázza” az ilyen forgalmat, így vakfoltok alakulnak ki, melyeket a támadók kihasználhatnak. Ebben az esetben a támadó e-mailek nem tartalmaztak kártékony kódot vagy ismert exploitokat, kizárólag megtévesztésen (social engineering) alapultak. A kampány különösen alattomos módon időben elosztott hullámokban történt, elkerülve a forgalomalapú riasztásokat.

Ajánlott védekezési intézkedések

A Check Point szerint a hasonló támadások kivédésére az alábbi lépések ajánlottak:

  • Többlépcsős hitelesítés (MFA) aktiválása a Google szolgáltatásokhoz.
  • Fejlett fenyegetésvédelmi rendszerek (ATP) bevezetése, melyek képesek azonosítani a meghívók metaadataiban lévő rendellenességeket.
  • Folyamatos felhasználói tudatossági képzések, különös tekintettel a váratlan, furcsa tartalmú e-mailek felismerésére.
  • Gyanús WhatsApp számok vagy földrajzi adatok elemzése, különösen, ha azok olyan régiókból származnak, ahol gyakoriak a csalások.

A jövő védelme: Zero Trust megközelítés

A kampány ismételten megerősíti, hogy a jövőben a zero trust (nulla bizalom) alapú biztonsági architektúrák felé kell elmozdulni, olyan rendszerek felé, amelyek minden kapcsolatot és interakciót hitelesítenek, forrástól függetlenül. Mivel a támadás 2025. augusztus 25-én még mindig aktív maradványhullámokat mutatott, a szervezeteknek haladéktalanul érdemes átvizsgálniuk az e-mail naplókat, például gyanús WhatsApp elérhetőségek vagy Classroom meghívási mintázatok után kutatva.

Összegzés

Ez az eset egy újabb példája annak, hogy a kiberbűnözők hogyan képesek legitimnek tűnő digitális platformokat fegyverként használni, és milyen könnyen megkerülhetők a hagyományos biztonsági rendszerek. A kampány mérete és hatékonysága sürgetővé teszi az intelligens, viselkedésalapú biztonsági modellek bevezetését, valamint a felhasználók folyamatos oktatását.

(forrás, forrás)