Resumo
Pesquisadores identificaram uma campanha de phishing que combina chamadas por voz (vishing) e abuso da infraestrutura do Google Cloud para capturar credenciais corporativas. O fluxo usa chamadas de suporte simuladas, emails enviados por serviços legítimos do Google e páginas hospedadas em domínios de cloud para contornar filtros tradicionais.
Como a campanha funciona
Segundo o relatório publicado pelo veículo, o ataque inicia com contato telefônico. Os operadores usam técnicas de voice‑spoofing para se passar por representantes de suporte do Google e citam atividade suspeita na conta da vítima, criando senso de urgência.
Encaminhamento para emails e páginas legítimas
Após a ligação, vítimas recebem emails de seguimento que aparentam originar de endereços do Google. Em vez de empregar domínios falsos que poderiam disparar filtros de reputação, os atacantes utilizam serviços de integração do Google Cloud para enviar as mensagens a partir de infraestrutura legítima.
Vetor técnico e evasões
Os links nas mensagens direcionam para páginas hospedadas em domínios de armazenamento do Google Cloud. Essas páginas exibem um falso desafio de CAPTCHA que, conforme observado por pesquisadores e por Dmitrn Gmilnanets, bloqueia scanners automáticos e permite a passagem apenas de interações humanas — favorecendo a entrega de páginas de captura de credenciais que imitam telas de login do Google ou do Microsoft 365.
Escopo e evidências
O relatório cita dados de dezembro de 2025: mais de 9.000 emails de phishing associados à campanha e aproximadamente 3.200 empresas-alvo em Estados Unidos, Europa, Ásia-Pacífico, Canadá e América Latina. Essas métricas apontam para uma operação de escala e foco prioritário em contas corporativas.
O que os pesquisadores destacam
"Cloud providers never initiate contact to request login credentials or direct users to external verification pages." — trecho do relatório
Os analistas reforçam que provedores de nuvem legítimos não pedem credenciais por telefone ou por páginas externas. O uso da própria infraestrutura do Google para disparo e hospedagem torna ineficazes controles baseados apenas em reputação de domínio ou IP.
Impacto e limitações dos controles tradicionais
Como a campanha abusa de infraestrutura legítima, defesas que dependem apenas de SPF/DKIM/DMARC e de reputação de URL podem falhar. Além disso, o componente humano (vishing seguido de interação manual com CAPTCHA) reduz a eficácia de varreduras automatizadas e sandboxes.
Recomendações práticas
- Implemente e exija MFA: autenticação multifator permanece como controle primário contra captura de credenciais.
- Treinamento e playbooks: treine equipes para desconfiar de contatos telefônicos não solicitados que instruam a clicar em links ou a fornecer códigos.
- Políticas de navegação: sempre navegar a partir de portais oficiais conhecidos (acesso direto, não por links recebidos).
- Gerenciadores de senha: uso obrigatório de gerenciador de senhas para reduzir reuso e preenchimento manual em páginas imitação.
- Detecção contextual e comportamental: investir em análise comportamental para identificar uso legítimo de infraestruturas que sejam correlacionadas com fluxos atípicos de verificação.
- Bloqueios por região/IP: quando possível, restringir tentativas de login a faixas de IP conhecidas da organização.
O que ainda não se sabe
O levantamento descreve o vetor e fornece métricas de disparo e alvos, mas não divulga indicadores de comprometimento (IOCs) detalhados ou nomes de clusters de infraestrutura maliciosa que permitam bloqueios automáticos amplos. Também não há confirmação pública de quais provedores de segurança detectaram ataques bem-sucedidos em escala.
Conclusão
A campanha evidencia mudança tática: em vez de depender exclusivamente de domínios falsos, atacantes estão abusando de plataformas legítimas e combinando vishing com páginas que bloqueiam scanners. Equipes de segurança devem priorizar MFA, controle de acesso contextual e exercícios de conscientização que incluam cenários de vishing para reduzir o risco de comprometimento por este método.