Kampania phishingowa podszywa się pod rekrutację znanych marek i kradnie konta Google - Security Bez Tabu

Kampania phishingowa podszywa się pod rekrutację znanych marek i kradnie konta Google

Cybersecurity news

Wprowadzenie do problemu / definicja

Nowa kampania phishingowa wykorzystuje temat ofert pracy i rozmów rekrutacyjnych do przejęcia danych logowania do kont Google. Atak jest wymierzony przede wszystkim w specjalistów marketingu, a jego wiarygodność wzmacnia podszywanie się pod rozpoznawalne marki oraz używanie nazwisk i zdjęć prawdziwych rekruterów.

To przykład nowoczesnego, wieloetapowego phishingu, w którym przestępcy nadużywają legalnych usług chmurowych, aby utrudnić wykrycie i zwiększyć skuteczność socjotechniki. Z perspektywy obrońców jest to istotny sygnał, że tradycyjne filtrowanie oparte wyłącznie na reputacji domen może być niewystarczające.

W skrócie

  • Atakujący podszywają się pod ponad 30 znanych firm i rozsyłają wiadomości o rzekomych procesach rekrutacyjnych.
  • Ofiara otrzymuje link do umówienia rozmowy, który prowadzi przez łańcuch przekierowań oparty o legalne platformy.
  • Końcowym etapem jest fałszywa strona logowania do Google.
  • Kampania wykorzystuje technikę browser-in-the-browser, aby okno logowania wyglądało jak prawdziwy popup przeglądarki.
  • Celem operacji jest kradzież poświadczeń i przejęcie kont użytkowników.

Kontekst / historia

Kampania została opisana na początku lipca 2026 roku, a dostępne ustalenia wskazują, że mogła działać co najmniej od pięciu miesięcy. Przestępcy podszywali się pod firmy z wielu sektorów, w tym technologicznego, lotniczego, hotelarskiego, rozrywkowego, spożywczego i dóbr konsumenckich. Wśród wykorzystywanych marek pojawiały się między innymi Adobe, Netflix, Coca-Cola oraz OpenAI.

Istotą tej operacji jest odejście od prostych stron phishingowych na rzecz bardziej rozbudowanego modelu dostarczania ataku. Wiadomości sprawiają wrażenie pochodzących z legalnej platformy HR, a odsyłacze przechodzą przez infrastrukturę powiązaną z uznanymi usługami marketingowymi i CRM. Dzięki temu kampania może skuteczniej omijać część zabezpieczeń opartych na prostym wykrywaniu podejrzanych adresów URL.

Analiza techniczna

Technicznie kampania opiera się na kilku warstwach maskowania. Pierwszą z nich jest socjotechnika: wiadomość e-mail przedstawia się jako kontakt od rekrutera zainteresowanego kandydatem na stanowisko marketingowe. Drugą warstwą jest wykorzystanie legalnych usług do osadzenia lub przekierowania linku, co podnosi poziom zaufania odbiorcy i utrudnia jednoznaczne oznaczenie wiadomości jako złośliwej.

Po kliknięciu użytkownik przechodzi przez zagnieżdżony łańcuch przekierowań. Taki model pozwala ukryć końcowy adres phishingowy aż do ostatniego etapu sesji. Dodatkowo napastnicy mogą dynamicznie zmieniać końcowe strony lądowania bez konieczności modyfikowania całej kampanii mailingowej.

Końcowa strona podszywa się pod system planowania spotkania rekrutacyjnego. Aby kontynuować proces, ofiara proszona jest o zalogowanie do konta Google. W tym momencie uruchamiana jest technika browser-in-the-browser. Fałszywe okno logowania nie jest prawdziwym oknem uwierzytelniania przeglądarki ani natywnym oknem dostawcy tożsamości, lecz elementem HTML i CSS stylizowanym tak, by wyglądał jak autentyczny popup.

Z punktu widzenia przestępców taka metoda ma kilka zalet. Umożliwia pełną kontrolę nad interfejsem, przechwycenie loginu i hasła bez przekazywania ich do prawdziwego dostawcy tożsamości oraz obejście części nawyków użytkowników, którzy nauczyli się ufać osobnym oknom logowania SSO. Nadużycie legalnych platform nie musi oznaczać ich kompromitacji — sprawcy mogli założyć własne konta lub skorzystać z wcześniej przejętych danych dostępowych.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem ataku jest przejęcie konta Google ofiary. W praktyce może to oznaczać dostęp do Gmaila, dokumentów, kalendarza, kontaktów, plików w chmurze oraz innych usług powiązanych z tym kontem. Jeżeli użytkownik wykorzystuje Google do logowania federacyjnego w zewnętrznych aplikacjach, incydent może szybko rozszerzyć się poza jeden system.

W środowisku firmowym ryzyko jest szczególnie wysokie dla działów marketingu, sprzedaży i HR, ponieważ pracownicy tych obszarów częściej wchodzą w interakcje z zewnętrznymi wiadomościami, zaproszeniami kalendarzowymi i procesami rekrutacyjnymi. Przejęte konto może zostać użyte do dalszego phishingu wewnętrznego, ataków BEC, kradzieży danych handlowych, resetów haseł w innych usługach oraz budowania wiarygodnych kampanii przeciwko partnerom biznesowym.

Dodatkowym problemem jest trudność wykrycia. Ruch kierowany do legalnych platform pośredniczących może wyglądać niegroźnie w telemetrii sieciowej, a użytkownik widzi pozornie spójny i wiarygodny proces biznesowy. W efekcie kampania może osiągać wysoką skuteczność nawet w organizacjach posiadających standardowe zabezpieczenia poczty.

Rekomendacje

Organizacje powinny wdrożyć wielowarstwową ochronę przed phishingiem ukierunkowanym na kradzież poświadczeń. Kluczowe jest stosowanie MFA odpornego na phishing, najlepiej z użyciem kluczy sprzętowych FIDO2 lub passkeys, zamiast polegania wyłącznie na kodach SMS czy prostych aplikacjach OTP.

  • Monitorować logowania do kont Google i innych usług tożsamości pod kątem nietypowych lokalizacji, nowych urządzeń i anomalii czasowych.
  • Analizować pełne łańcuchy przekierowań w wiadomościach e-mail, a nie tylko pierwszy widoczny adres.
  • Blokować lub dodatkowo sandboxować wiadomości zawierające zaproszenia rekrutacyjne z zewnętrznych domen, jeśli nie są zgodne z polityką organizacji.
  • Wdrożyć ochronę przeglądarki i izolację sesji dla użytkowników wysokiego ryzyka.
  • Szkolić pracowników z rozpoznawania techniki browser-in-the-browser oraz weryfikacji, czy okno logowania jest faktycznie niezależnym oknem systemowym lub przeglądarkowym.
  • Ograniczyć użycie kont osobistych do działań służbowych i wymusić centralne zarządzanie tożsamością.

Równie ważne są procedury reagowania. Jeśli użytkownik podał dane na podejrzanej stronie, należy natychmiast wymusić zmianę hasła, unieważnić aktywne sesje, sprawdzić reguły przekazywania poczty, przeanalizować aplikacje połączone z kontem oraz zweryfikować, czy nie doszło do przejęcia innych usług w wyniku resetu hasła. Zespół SOC powinien traktować taki incydent jako potencjalny punkt wejścia do szerszej kompromitacji tożsamości.

Podsumowanie

Opisana kampania pokazuje, że współczesny phishing coraz częściej łączy wiarygodną narrację biznesową, nadużycie legalnych usług chmurowych oraz zaawansowane techniki podszywania się pod interfejsy logowania. Motyw rozmowy rekrutacyjnej jest szczególnie skuteczny, ponieważ naturalnie skłania ofiarę do szybkiej interakcji i obniża poziom czujności.

Dla organizacji oznacza to konieczność odejścia od wyłącznie reputacyjnego podejścia do filtracji wiadomości i przejścia na model obrony oparty na analizie tożsamości, odporności MFA oraz ciągłym monitorowaniu nietypowych ścieżek uwierzytelniania. Tożsamość użytkownika pozostaje dziś jednym z najcenniejszych celów atakujących, a kampanie tego typu będą prawdopodobnie rozwijane i dopracowywane.

Źródła

  1. BleepingComputer — Phishing poses as big-brand job interview to steal Google accounts — https://www.bleepingcomputer.com/news/security/phishing-poses-as-big-brand-job-interview-to-steal-google-accounts/
  2. Will Thomas — Analysis of the phishing campaign domains and redirect chain — https://gist.github.com/
  3. Google — Sign in with Google documentation and account security guidance — https://support.google.com/accounts/
  4. MITRE ATT&CK — Phishing and credential access techniques — https://attack.mitre.org/
  5. Microsoft — Guidance on browser-in-the-browser style phishing and identity attacks — https://www.microsoft.com/security/blog/