Mail o usunięciu zdjęć z Cloud
Dlaczego otrzymujesz mail o usunięciu zdjęć z Cloud?
W ostatnim czasie znacząco nasiliły się kampanie oszustw e-mailowych, które podszywają się pod powiadomienia o problemach z płatnością za usługi chmurowe lub braku dostępnego miejsca. Mechanizm ten opiera się na klasycznym phishingu, znanym także jako „subscription renewal scam”. Wiadomości wywołują presję, strasząc utratą danych — zdjęć, kopii zapasowych czy dokumentów — i kierują użytkownika na fałszywe strony imitujące portale usług chmurowych. Ich celem jest nakłonienie ofiary do dokonania płatności lub ujawnienia danych karty.
W skrócie
Atak przybiera formę masowo rozsyłanych wiadomości, często pochodzących z losowo wyglądających domen i powtarzających się nawet kilka razy dziennie. Zawarte w nich linki prowadzą przez adresy w domenie Google Cloud Storage (storage.googleapis.com), gdzie znajdują się proste pliki HTML pełniące funkcję przekierowań. Strony docelowe udają panele zarządzania chmurą, prezentują fałszywe wyniki „skanowania” (zawsze wskazujące brak miejsca) i kuszą rzekomymi promocjami, np. wysokimi rabatami lojalnościowymi. W dalszym etapie użytkownik może zostać przekierowany na strony partnerskie oferujące niezwiązane usługi (np. VPN czy oprogramowanie zabezpieczające), a ostatecznie na formularze wyłudzające dane płatnicze.
Podstawowa zasada bezpieczeństwa pozostaje niezmienna: nie należy klikać linków z wiadomości e-mail — stan konta trzeba zawsze sprawdzać bezpośrednio w oficjalnej aplikacji lub serwisie dostawcy.
Na czym polega wyłudzanie danych przez mail o usunięciu zdjęć z Cloud?
Kontekst / historia / powiązania
Choć schemat ataku nie jest technologicznie nowy, pozostaje bardzo skuteczny dzięki wykorzystaniu socjotechniki. Oszuści odwołują się do realnych obaw użytkowników związanych z utratą danych. Podobne ostrzeżenia publikowały instytucje takie jak Federal Trade Commission, wskazując, że nawet pozornie wiarygodne wiadomości mogą prowadzić do stron phishingowych lub zawierać złośliwe oprogramowanie.
Analiza techniczna / szczegóły kampanii
1) Warstwa e-mail (dystrybucja i treść)
Kampania wykorzystuje liczne domeny nadawcze, często wyglądające na losowo generowane. Tematy wiadomości są skonstruowane tak, by wywołać presję czasu i strach (np. „Payment Declined”, „Account blocked” czy informacje o dacie usunięcia danych). Często stosowana jest także personalizacja — imię odbiorcy, adres e-mail, identyfikator konta lub numer subskrypcji — co zwiększa wiarygodność przekazu.
2) Warstwa linków: „zaufany” pierwszy etap
Wiadomości zawierają odnośniki prowadzące do domeny storage.googleapis.com, gdzie znajdują się statyczne pliki HTML przekierowujące użytkownika dalej — już na strony kontrolowane przez atakujących. Wykorzystanie infrastruktury dużego dostawcy zwiększa szanse na ominięcie filtrów bezpieczeństwa i podnosi współczynnik kliknięć.
3) Strona docelowa: fałszywy portal i „skan”
Strony, na które trafia użytkownik, imitują interfejsy usług chmurowych, wykorzystując znane elementy wizualne i logotypy. Informują o rzekomych problemach z backupem i grożą usunięciem danych. Po kliknięciu przycisku „Continue” uruchamiany jest fikcyjny „skan”, który zawsze wskazuje przepełnienie zasobów (np. Photos, Drive, Mail).
4) Monetyzacja: afiliacja i wyłudzenia płatności
Zamiast rzeczywistego panelu użytkownik trafia na strony partnerskie promujące inne usługi subskrypcyjne, a następnie na formularze płatności. W ten sposób oszuści generują zysk — zarówno poprzez programy afiliacyjne, jak i bezpośrednie wyłudzenie danych karty.
Praktyczne konsekwencje / ryzyko
Skutki takiego ataku mogą być poważne. Obejmują utratę pieniędzy poprzez opłacenie zbędnych usług lub nieautoryzowane obciążenia cykliczne. Istnieje również ryzyko kradzieży danych karty (numeru, CVV, danych rozliczeniowych) i ich późniejszego wykorzystania w oszustwach finansowych. Dodatkowo, jeśli użytkownik użyje tych samych haseł w innych serwisach, poda dane logowania lub zainstaluje sugerowane oprogramowanie, atak może się rozszerzyć — prowadząc do przejęcia kont e-mail i dalszej kompromitacji usług.