Integrity360 Security Operations Center (SOC) har nyligen identifierat och analyserat en avancerad nätfiskekampanj som utnyttjar legitima Google-URL:er för omdirigering, särskilt domäner som share.google, för att dölja slutdestinationen för skadliga länkar och avsevärt öka sannolikheten för användarinteraktion.
Denna aktivitet ligger i linje med en bredare, väldokumenterad global trend som observerats av flera forskningsorganisationer inom cybersäkerhet och leverantörer av hotinformation, och som belyser det växande missbruket av Googles omdirigeringsmekanismer som en teknik för undvikande och social ingenjörskonst. Resultaten från Integrity360 SOC överensstämmer helt med offentligt rapporterad forskning och bekräftar att dessa kampanjer har förblivit aktiva och utvecklats från slutet av 2025 till början av 2026.
Under rutinmässig övervakning och incidentresponsaktiviteter upptäckte Integrity360 SOC en ökning av phishing-e-postmeddelanden som flaggats av Microsoft Defender och som innehöll webbadresser med följande egenskaper:
- URL-adresser som börjar med https://share.google/
- URL-sökvägar som består av till synes slumpmässiga alfanumeriska strängar
- Inga uppenbara skadliga indikatorer i den inledande delen av webbadressen
- Omdirigering till externa, icke-Google-domäner
Ett representativt exempel som observerades var:
https://share.google/WZVPCOYZZLbKAmFeF
Vid första anblicken verkar sådana länkar legitima för slutanvändare på grund av det inneboende förtroende som är förknippat med Googles varumärke. En dynamisk analys bekräftade dock att dessa webbadresser fungerar som omdirigeringar och vidarebefordrar användare till externa och potentiellt skadliga destinationer.
Sandbox-analysen som genomfördes av Integrity360 SOC avslöjade att den slutliga omdirigeringsdestinationen inte är statisk. Istället kan den variera baserat på flera faktorer, inklusive användaragent, surfningskontext och miljöattribut. I vissa fall omdirigerades sandlådemiljöer till godartade eller slumpmässiga webbplatser, medan riktiga användare dirigerades till aktiva phishing-sidor.
Detta beteende överensstämmer med avancerade tekniker för att undvika sandlådor som är utformade för att kringgå automatiserad upptäckt, URL-reputationssystem och länkanalys för säker e-postgateway.
En annan anmärkningsvärd egenskap som identifierades under utredningen var den uppenbara avsändaren av phishing-e-postmeddelandena. I flera fall verkade e-postmeddelandena komma från mottagarens eget personliga Gmail-konto och levererades till deras företags e-postadress.
Den här tekniken, som ofta kallas self-spoofing eller replay phishing, utnyttjar användarnas förtroende och förtrogenhet, vilket avsevärt ökar meddelandets trovärdighet och minskar användarnas misstänksamhet. Genom att utnyttja legitim Google-infrastruktur kan dessa e-postmeddelanden kringgå grundläggande förtroende- och autentiseringskontroller.
De tekniker som observerades av Integrity360 SOC speglar nära de som dokumenterats av flera cybersäkerhetsforskare och leverantörer. Offentlig forskning har konsekvent visat att angripare missbrukar olika Google-omdirigeringsmekanismer, inklusive share.google, google.com/url, google.sm, Google AMP, Google Translate och Google Maps, för att dölja skadliga destinationer och kringgå säkerhetskontroller.
Angripare roterar ofta domäner, sökvägar och parametrar för att undvika statiska detekteringsregler och förlitar sig på det höga anseendet hos Google-ägda domäner som ofta är implicit betrodda eller tillåtet-listade i företagsmiljöer.
Dessa nätfisketekniker utgör en betydande risk för organisationer av flera skäl. Betrodda Google-domäner minskar användarnas skepticism, statisk URL-filtrering blir ineffektiv, sandlåde-miljöer kan misslyckas med att observera det verkliga skadliga beteendet och självförfalskade e-postmeddelanden sänker användarnas vaksamhet drastiskt.
Organisationer som främst förlitar sig på domänrykte eller statisk länkinspektion är särskilt sårbara för dessa kampanjer.
Baserat på resultaten rekommenderar Integrity360 SOC en försvarsmetod med flera lager. E-postautentiseringskontroller bör inkludera strikt DMARC-verkställighet inställd på karantän eller avvisande, strikt SPF-anpassning och obligatorisk DKIM-signering för utgående e-post för att minska effektiviteten hos spoofing och replay-attacker.
Webbsäkerhetskontroller bör konfigureras för att analysera omdirigeringskedjor och blockera scenarier där betrodda domäner omdirigeras till icke betrodda destinationer. Säkerhetsteam bör undvika att enbart förlita sig på den ursprungliga domänen när de bedömer länksäkerheten.
Användarnas medvetenhet är fortfarande avgörande. Användare bör informeras om att Google-märkta länkar inte är säkra i sig, att e-postmeddelanden som ser ut att komma från dem själva bör behandlas med försiktighet och att omdirigeringslänkar kan dölja phishing-sidor.
Integrity360 SOC-analysen bekräftar att missbruk av Googles omdirigeringar är en av de mest effektiva och ihållande nätfisketeknikerna som används för närvarande. Genom att kombinera betrodd infrastruktur, dynamisk omdirigering och sofistikerad social ingenjörskonst kan angripare kringgå både tekniska kontroller och mänskliga försvar.
Den här hotbilden förstärker behovet av säkerhetskontroller i flera lager, beteendeanalys, kontinuerlig användarutbildning och uppdaterad hotinformation. Integrity360 SOC fortsätter att aktivt övervaka dessa kampanjer och stödja kunder i att identifiera, mildra och svara på detta föränderliga hot.