Firmy po celom svete čelia novej vlne sofistikovaných phishingových kampaní, ktoré zneužívajú vysokú dôveryhodnosť cloudových služieb Googlu. Analýza spoločnosti Cofense upozorňuje, že útočníci presúvajú ťažisko na platformu Google Apps Script, aby obišli tradičné antivírusové filtre a presvedčili zamestnancov, že pracujú s legitímnymi internými nástrojmi.
Phishing využíva adresy Googlu a realistické SSO formuláre
Scenár útoku sa začína emailom, ktorý sa vydáva za urgentnú výzvu od vedenia alebo nadriadeného, často s pokynom okamžite spracovať faktúru či platbu. Namiesto podozrivých domén však správa obsahuje URL smerujúce priamo na stránky hostované v Google Apps Script. Po kliknutí na odkaz sa používateľovi zobrazí prihlasovacia obrazovka nápadne pripomínajúca firemný Single Sign-On. Zadanie prihlasovacích údajov vedie k ich okamžitému odoslaniu útočníkom, zatiaľ čo obeť je vzápätí presmerovaná na pravú prihlasovaciu stránku Microsoftu. Táto dvojfázová finta minimalizuje podozrenie a zanecháva útočníkom časové okno na neoprávnené prístupy do firemných systémov.
Zneužitie Google Apps Script predstavuje zásadný posun oproti tradičným phishingovým technikám. Podnikové bezpečnostné brány často predvolene dôverujú doménam Googlu, čo útočníci využívajú na obídenie kontrol príloh či URL. Tým sa výrazne zvyšuje pravdepodobnosť, že email doputuje do hlavnej doručenej pošty a obíde karanténu.
Krátkodobé blokovanie odkazov, dlhodobé vzdelávanie používateľov
Bezpečnostní konzultanti odporúčajú podnikom okamžite prehodnotiť politiku zaobchádzania s odkazmi na Google Apps Script. Minimom je označiť ich ako potenciálne rizikové; v kritických odvetviach, kde prevláda vysoké riziko finančnej straty, sa odporúča dočasné blokovanie týchto URL na úrovni proxy servera či brány. Dôležité je tiež nasadiť viacfaktorové overovanie (MFA) pre všetky cloudové účty, aby jeden kompromitovaný set prihlasovacích údajov neumožnil útočníkom kompletný prístup k firemným zdrojom.
Strednodobé a dlhodobé stratégie zahŕňajú pravidelné školenia zamestnancov, simulované phishingové kampane a revíziu procesov, pri ktorých sa vyžaduje okamžitá platba. Modelové situácie pomáhajú používateľom identifikovať podozrivé znaky aj v prípade, že vizuálna stránka emailu či webu vyzerá bezchybne. Významným doplnkom je systém riadenia incidentov (SIEM), ktorý analyzuje anomálie v prístupoch, napríklad prihlásenia z nezvyčajnej geografickej lokality v krátkom časovom slede.
Umelá inteligencia ako ďalšia vrstva obrany
Neustále rastúca úroveň profesionality útočníkov núti spoločnosti investovať do bezpečnostných riešení podporovaných umelou inteligenciou. Moderné platformy dokážu v reálnom čase detegovať anomálie v správaní používateľov či automaticky korelovať viacero varovných signálov. Ak systém zaznamená, že URL vedie na Google Apps Script, ktorý následne vyžaduje prihlasovacie údaje, dokáže okamžite vyvolať poplach alebo prístup zablokovať.
Okrem detekcie sú AI nástroje schopné prediktívne modelovať pravdepodobnosť útoku na základe najnovších trendov. V praxi to znamená, že ak sa na darknetových fórach objavia informácie o novej phishingovej kampani, algoritmus dokáže zvýšiť skóring rizikovosti podobných správ ešte pred tým, ako sa masovo rozšíria.
Nárast incidentov demonštruje, že tradičné antivírusové a antispamové filtre už nestačia. Firmy, ktoré chcú minimalizovať finančné straty a reputačné škody, musia implementovať kombináciu technických, procesných a vzdelávacích opatrení. Len tak si zachovajú dostatočný náskok pred útočníkmi, ktorí stále častejšie využívajú legitímne cloudové služby na maskovanie zámerov.
