I ricercatori di Check Point hanno scoperto una campagna di phishing attiva su larga scala che sfrutta Google Classroom, una piattaforma a cui si affidano milioni di studenti ed educatori in tutto il mondo.

Nel corso di una sola settimana, gli aggressori hanno lanciato cinque ondate coordinate, distribuendo più di 115.000 e-mail di phishing rivolte a 13.500 organizzazioni di diversi settori. Sono state prese di mira organizzazioni in Europa, Nord America, Medio Oriente e Asia.

Uno strumento affidabile trasformato in un vettore di minacce

Google Classroom è progettato per mettere in contatto insegnanti e studenti attraverso inviti a partecipare a classi virtuali. Gli aggressori hanno sfruttato questa fiducia inviando inviti fasulli che contenevano offerte commerciali non correlate, che andavano dalla rivendita di prodotti ai servizi SEO.

Ogni e-mail indirizzava i destinatari a contattare i truffatori tramite un numero di telefono WhatsApp, una tattica spesso legata a schemi di frode.

L’inganno funziona perché i sistemi di sicurezza tendono a fidarsi dei messaggi provenienti da servizi Google legittimi. Sfruttando l’infrastruttura di Google Classroom, gli aggressori sono stati in grado di aggirare alcuni livelli di sicurezza tradizionali, tentando di raggiungere le caselle di posta elettronica di oltre 13.500 aziende prima che le difese venissero attivate.

Anatomia della campagna

• Scala: 115.000 e-mail di phishing inviate tra il 6 e il 12 agosto 2025.
• Obiettivi: 13.500 organizzazioni in tutto il mondo, in diversi settori.
• Esca: Falsi inviti a Google Classroom contenenti offerte non correlate all’istruzione
• Invito all’azione (call to action): Un numero di telefono WhatsApp, progettato per spostare la conversazione al di fuori della posta elettronica e del monitoraggio aziendale.
• Metodo di consegna: Cinque ondate principali, ognuna delle quali ha sfruttato la legittimità di Google Classroom per eludere i filtri.

Come Check Point ha bloccato l’attacco

Nonostante l’uso sofisticato da parte degli aggressori della fidata infrastruttura, la tecnologia SmartPhish di Check Point Harmony Email & Collaboration ha rilevato e bloccato automaticamente la maggior parte dei tentativi di phishing. Ulteriori livelli di sicurezza hanno impedito ai messaggi rimanenti di raggiungere gli utenti finali.

Questo incidente sottolinea l’importanza delle difese a più livelli. Gli aggressori utilizzano sempre più spesso servizi cloud legittimi, rendendo i gateway di posta elettronica tradizionali insufficienti a bloccare le tattiche di phishing in continua evoluzione.

Cosa devono fare le organizzazioni

• Educare: Istruire utenti, studenti e dipendenti a trattare con cautela gli inviti inattesi (anche quelli provenienti da piattaforme familiari).
• Prevenzione avanzata delle minacce: Utilizzate un rilevamento basato sull’intelligenza artificiale che analizza il contesto e l’intento, non solo la reputazione del mittente.
• Monitorare le applicazioni cloud: Estendete la protezione dal phishing oltre le e-mail anche alle app di collaborazione, alle piattaforme di messaggistica e ai servizi SaaS.
• Difendersi dall’ingegneria sociale: Essere consapevoli che gli aggressori spingono sempre più spesso le vittime verso comunicazioni al di fuori dei canali “ufficiali” (come WhatsApp) per eludere i controlli aziendali.

Gli aggressori continuano a trovare modi creativi per sfruttare servizi legittimi come Google Classroom per ottenere fiducia, aggirare le difese e raggiungere obiettivi su larga scala. Con oltre 115.000 e-mail in una sola settimana, questa campagna evidenzia la facilità con cui i criminali informatici possono armare le piattaforme digitali a scopo di frode.

Riconosciuto come Leader e Outperformer nel GigaOm Radar 2025 per l’Anti-Phishing, Check Point Harmony Email & Collaboration fornisce la difesa avanzata e stratificata necessaria per proteggere le organizzazioni dagli attacchi di phishing, anche quando si nascondono in bella vista.

L'articolo Phishing in Classe! 115.000 email per 13.500 organizzazioni con Google Classroom proviene da il blog della sicurezza informatica.