Job scam z fałszywym „Google Forms” kradnie loginy Google – jak działa kampania i jak się bronić

Wprowadzenie do problemu / definicja luki

To nie „luka w Google Forms”, tylko klasyczny phishing: atakujący budują stronę łudząco podobną do Google Forms, aby wymusić kliknięcie „Sign in”, a następnie wyłudzić dane logowania do konta Google. Kampania celuje w osoby szukające pracy, wykorzystując presję emocjonalną („pilna rekrutacja”, „zdalna praca”, „międzynarodowy proces”) oraz wysokie zaufanie do marki Google.

W skrócie

• Atak startuje od linku wyglądającego jak Google Forms, ale osadzonego na podszywającej się domenie (lookalike).
• Używany jest mechanizm tworzenia spersonalizowanych linków (utrudnia analizę i zgłaszanie).
• Po kliknięciu „Sign in” użytkownik trafia na zewnętrzny serwis proszący o hasło do Google; infrastruktura była już wcześniej wykorzystywana w phishingu.
• To element szerszego trendu nadużyć „rekrutacyjnych” – od kradzieży danych po przejęcia kont i dalsze oszustwa.

Kontekst / historia / powiązania

Scamy rekrutacyjne od lat ewoluują: dziś to często „pełny proces HR” – wiadomości na LinkedIn, testy, „formularze”, a choćby fałszywe portale onboardingowe zbierające dane wrażliwe (np. do „wypłaty” albo „weryfikacji”). FTC wprost ostrzega przed fałszywymi procesami rekrutacyjnymi, które kończą się kradzieżą tożsamości lub wyłudzeniami finansowymi.

Z perspektywy obrońców ważne jest to, iż kampanie „job-themed” są też wykorzystywane przez zorganizowane grupy do kradzieży poświadczeń i późniejszego ataku na konta firmowe (np. gdy kandydat loguje się na sprzęcie służbowym lub ma dostęp do zasobów organizacji).

Analiza techniczna / szczegóły kampanii

1) Domeny i podszywanie się pod forms.google.com

Badacze Malwarebytes znaleźli adresy w schemacie przypominającym prawdziwe Google Forms, np.:

• forms.google.ss-o[.]com/...

To nie jest forms.google.com, tylko subdomena w obcej domenie. Wstawka „ss-o” ma wyglądać wiarygodnie (skojarzenie z SSO – single sign-on).

2) Personalizacja linków: „generation_form.php”

Na tej samej domenie wykryto plik generation_form.php, który – jak wskazuje analiza – generował unikalny link dla konkretnej ofiary. Taki zabieg:

• utrudnia dzielenie się linkiem z analitykami,
• komplikuje automatyczne blokowanie,
• zwiększa skuteczność kampanii w targetowaniu.

3) Antyanaliza: przekierowania „na Google”

Gdy badacze próbowali otworzyć podejrzane linki, otrzymywali przekierowanie na lokalną wyszukiwarkę Google – to klasyczny trik phisherów, żeby ograniczyć „wyciek” działających URL-i i utrudnić śledztwo.

4) Etap kradzieży hasła: przejście na zewnętrzną infrastrukturę

Kliknięcie „Sign in” prowadziło do osobnej domeny, gdzie proszono o dane do konta Google. Malwarebytes zauważa, iż ta domena była wykorzystywana w phishingu już wcześniej (około rok), a konkretna strona w momencie publikacji została już zdjęta.

5) Dystrybucja: e-mail i/lub LinkedIn

W kampanii widać typowy „rekrutacyjny” vektor: prawdopodobne rozsyłanie linków w mailach oraz wiadomościach na LinkedIn, dopasowanych do profilu ofiary.

Praktyczne konsekwencje / ryzyko

Przejęcie konta Google to często efekt domina:

• dostęp do Gmaila = reset haseł do innych serwisów,
• dostęp do Dysku/Docs = wyciek dokumentów i danych osobowych,
• dostęp do kontaktów = dalsze kampanie phishingowe „z zaufanego konta”,
• w środowiskach firmowych: ryzyko przejęcia usług w chmurze (SSO, zasoby SaaS).

W scammach rekrutacyjnych często dochodzi też do wyłudzeń finansowych („opłata za sprzęt”, „zwrot kosztów”, „weryfikacja”) oraz kradzieży danych do późniejszej kradzieży tożsamości.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (pracownicy, kandydaci)

1. Weryfikuj domenę: prawdziwe Google Forms to forms.google.com. Każda wariacja typu forms.google.*coś* w obcej domenie to czerwona flaga.
2. Nie klikaj linków z „niespodziewanych rekrutacji” – szczególnie gdy rozmowa zaczyna się od formularza/testu.
3. Używaj menedżera haseł – nie wypełni hasła na fałszywej domenie, co często zatrzymuje atak na pierwszym kroku.
4. Włącz MFA (najlepiej odporne na phishing, np. klucze sprzętowe/FIDO2 w organizacjach) – ogranicza skutki kradzieży hasła. (Uwaga: część nowoczesnych kitów potrafi omijać „słabe” MFA przez proxy, więc tym bardziej liczy się phishing-resistant MFA).
5. Jeśli podałeś hasło: zmień je natychmiast, wyloguj sesje, sprawdź aktywność logowań i dodane metody odzyskiwania.

Dla SOC/IT (organizacje)

1. Blokuj lookalike domains i wdrażaj polityki detekcji domen podszywających się pod najważniejsze SaaS (Google/Microsoft).
2. Monitoruj kliknięcia w kampaniach „job themed” i traktuj je jako istotny sygnał ryzyka (szczególnie w działach marketingu/sprzedaży/HR).
3. Wzmacniaj polityki kont: phishing-resistant MFA, warunkowy dostęp, ograniczenia logowania, alerty anomalii.
4. Szybka ścieżka reakcji: playbook na account takeover (Google Workspace / konta prywatne wykorzystywane do pracy).

Gdzie zgłaszać

Jeśli to oszustwo „rekrutacyjne” (zwłaszcza z wątkiem finansowym), FTC rekomenduje zgłaszanie przez swój system raportowania nadużyć.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• „Fałszywy Forms” vs. „nadużycie prawdziwego Forms”: tu mamy klon interfejsu hostowany na podszywającej domenie; w innych kampaniach przestępcy nadużywają legalnych narzędzi/formularzy, bo „zaufany nadawca” i infrastruktura chmurowa łatwiej przechodzą przez filtry.
• Job scam jako wektor do przejęć firmowych: w przeciwieństwie do „zwykłego” phishingu konsumenckiego, rekrutacja potrafi być celowana i długofalowa, a ofiarą końcową bywa organizacja (dostępy do kont reklamowych, SaaS, skrzynek).

Podsumowanie / najważniejsze wnioski

Ta kampania pokazuje, iż dziś phishing to nie toporny „formularz do hasła”, tylko dobrze zagrany proces: podszyta domena, wiarygodny interfejs Google Forms, personalizowane linki i przekierowania utrudniające analizę. Największą przewagą obrony jest higiena kliknięć (weryfikacja domen), menedżer haseł i odporne na phishing MFA – oraz szybka reakcja, jeżeli dane logowania już wyciekły.

Źródła / bibliografia

1. Malwarebytes – opis kampanii i analiza infrastruktury (18 lutego 2026). (Malwarebytes)
2. Google Cloud Blog (GTIG) – fake job postings jako wektor kradzieży poświadczeń i kompromitacji kont (23 października 2025). (Google Cloud)
3. Google – „fraud and scams advisory” (6 listopada 2025). (blog.google)
4. FTC Consumer Advice – Job Scams (aktualizowany poradnik). (Consumer Advice)
5. FTC Business Guidance – o technikach oszustw rekrutacyjnych i „onboardingu” (25 stycznia 2023). (Federal Trade Commission)