Fałszywe odnowienia subskrypcji „cloud storage” zalewają skrzynki: jak działa kampania i jak się chronić

Wprowadzenie do problemu / definicja „luki”

W ostatnich miesiącach rośnie skala kampanii oszustw e-mailowych udających powiadomienia o problemach z płatnością za „chmurę” lub brakiem miejsca. Mechanizm jest klasycznym phishingiem/„subscription renewal scam”: wiadomość straszy utratą danych (zdjęć, backupów, dokumentów), wymusza pośpiech i prowadzi do stron podszywających się pod portale usług chmurowych, aby skłonić ofiarę do zapłaty lub podania danych karty.

W skrócie

• Wiadomości są masowo wysyłane z wielu (często losowo wyglądających) domen i potrafią przychodzić kilka razy dziennie.
• Linki w mailach prowadzą przez adresy na storage.googleapis.com (infrastruktura Google Cloud Storage), gdzie hostowane są proste pliki HTML pełniące rolę przekierowań (redirectorów).
• Strony docelowe udają „panel chmury”, pokazują fałszywy „skan” (zawsze „pełno”) i obiecują np. „lojalnościowy” rabat 80%.
• Dalej ofiara bywa przekierowana na oferty partnerskie (affiliate) niezwiązane z chmurą (VPN-y, „security software”), a finalnie na formularze płatności zbierające dane karty.
• Kluczowa zasada obrony: nie klikaj linku z maila — stan konta weryfikuj wyłącznie w oficjalnej aplikacji/serwisie dostawcy.

Kontekst / historia / powiązania

To nie jest „nowa technologia ataku”, tylko bardzo skuteczna socjotechnika: oszuści uderzają w realny lęk użytkowników przed utratą zdjęć i kopii zapasowych. Podobne alerty przed tego typu „kończącą się chmurą” publikowała m.in. Federal Trade Commission, podkreślając, iż choćby gdy wiadomość „wygląda legitnie”, link do „upgrade” może prowadzić do phishingu lub malware.

Analiza techniczna / szczegóły kampanii

1) Warstwa e-mail (delivery + treść)

Według analizy BleepingComputer, kampania używa:

• wielu domen nadawczych (często wyglądających jak generowane losowo),
• tematów wiadomości budujących presję czasu i strach (np. „Payment Declined”, „Account blocked”, daty usunięcia danych),
• personalizacji (imię/adres e-mail, „ID konta”, „numer subskrypcji”), aby podnieść wiarygodność.

2) Warstwa linków: „zaufany” pierwszy skok

Wszystkie badane wiadomości zawierały link do https://storage.googleapis.com/, gdzie atakujący umieszczali statyczne pliki HTML robiące przekierowanie na domeny kontrolowane przez oszustów. To istotny detal: część filtrów traktuje domenę dużego dostawcy jako „mniej podejrzaną”, co poprawia dostarczalność i klikalność.

3) Landing page: fałszywy portal + „skan”

Strony docelowe:

• podszywają się pod „cloud portal”, używają brandingów „cloud” (w tym logotypów kojarzonych z chmurą),
• straszą, iż backupy nie działają i dane zostaną usunięte,
• po kliknięciu „Continue” wykonują „scan”, który zawsze pokazuje przepełnienie (np. Photos/Drive/Mail).

4) Monetyzacja: affiliate → checkout → dane karty

Po „aktualizacji planu” użytkownik nie trafia do prawdziwego panelu usługi, tylko na strony partnerskie promujące inne subskrypcje (np. VPN) i finalnie na formularze płatności zbierające dane karty, co generuje zysk z afiliacji i/lub bezpośredniego wyłudzenia.

Praktyczne konsekwencje / ryzyko

1. Utrata pieniędzy – opłata za produkt, którego nie potrzebujesz (lub który nic nie „naprawi”), i potencjalne obciążenia cykliczne.
2. Kradzież danych karty – przechwycenie numeru, CVV, danych rozliczeniowych i późniejsze transakcje fraudowe.
3. Ryzyko dalszej kompromitacji – jeżeli ofiara użyje tych samych haseł gdzie indziej, poda dane logowania lub zainstaluje „polecane” oprogramowanie, atak może eskalować (konto e-mail → reset haseł → przejęcia usług).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i helpdesku (SOHO / SMB)

• Nie klikaj linków z maila. Zamiast tego wejdź wprost do aplikacji/serwisu dostawcy i sprawdź status subskrypcji.
• Zgłaszaj phishing: w UK rządowa ścieżka to przekazanie podejrzanego maila na adres wskazany przez GOV.UK (oraz zgłoszenie SMS na 7726).
• Jeśli wpisałeś dane karty: natychmiast kontakt z bankiem, zastrzeżenie/zmiana karty, monitoring transakcji i rozważenie chargeback.

Dla organizacji (SOC / SecOps / IT)

• Reguły antyphishingowe pod motyw „cloud storage full/payment failed” (subject + frazy + presja czasu + „account ID”).
• Analiza URL-chain: sandbox/detonacja, rozpakowanie przekierowań, reputacja domen końcowych (często losowe/świeże).
• Polityka płatności: każda „pilna” płatność/subskrypcja musi przejść weryfikację poza kanałem e-mail (np. portal dostawcy, ticket + approval).
• Edukacja + symulacje: krótkie playbooki „co zrobić po kliknięciu” i szybkie kanały zgłoszeń do SOC/IT.

Różnice / porównania z innymi przypadkami

Najprostszy test wiarygodności to porównanie „straszaków” z realną polityką dostawców:

• Google (Google One/Drive): po anulowaniu/wygaśnięciu planu tracisz „dodatkową” przestrzeń, ale treści są kasowane dopiero po dłuższym okresie przekroczenia limitu (Google opisuje próg „2 lata lub dłużej” over-quota). To nie jest „usuniecie jutro”.
• Microsoft (OneDrive): po przekroczeniu limitu konto może przejść w tryb ograniczony (read-only), a dostawca wskazuje, iż po 6 miesiącach może usunąć OneDrive i pliki, jeżeli nic nie zrobisz — przez cały czas nie jest to jednak „natychmiastowe skasowanie w 24h”, jak sugerują scam-maile.

W praktyce scamy bazują na „natychmiastowej katastrofie”, podczas gdy realne procesy zwykle obejmują okresy karencji, ograniczenia funkcji i dłuższe okna na reakcję.

Podsumowanie / najważniejsze wnioski

• To masowa kampania phishingowo-affiliate’owa: presja czasu + strach o dane + „zaufany” pierwszy link (hostowany na infrastrukturze dużego dostawcy) + fałszywy „skan” + wyłudzenie płatności.
• Najskuteczniejsza obrona to procedura: zero klikania w linki z maila → weryfikacja w aplikacji/na oficjalnej stronie → zgłoszenie phishingu.
• „Twoje pliki zostaną usunięte dziś/jutro” jest typowym czerwonym alarmem — polityki dostawców są znacznie bardziej rozciągnięte w czasie.

Źródła / bibliografia

1. BleepingComputer – opis kampanii, mechanika linków i monetyzacji. (BleepingComputer)
2. Federal Trade Commission – ostrzeżenie konsumenckie dot. fałszywych komunikatów o braku miejsca w chmurze i zasad weryfikacji. (Consumer Advice)
3. GOV.UK – kanały raportowania phishingu (e-mail/SMS) i podstawowe zasady bezpieczeństwa. (GOV.UK)
4. Google – zasady Google One (m.in. konsekwencje over-quota i horyzont usuwania danych). (Google Help)
5. Microsoft – zachowanie OneDrive przy przekroczeniu limitu i informacja o możliwym usunięciu po 6 miesiącach. (Microsoft Support)