Попередження про шахрайство Task Scam: Нова хвиля шахрайства використовує сповіщення Google Tasks проти корпоративних облікових даних

Недавно була виявлена нова складна кампанія фішингу, яка використовує сервіс Google Tasks — широко надійну інструмент у корпораціях. У цій шахрайській схемі кіберзлочинці захоплюють легітимні сповіщення цієї платформи, щоб обдурити співробітників і змусити їх розкрити свої облікові дані, що ставить під загрозу внутрішні системи компаній. Глобальний лідер у галузі кібербезпеки, компанія Kaspersky, виявила цю шахрайську схему, яка використовує офіційний домен @google.com для обходу традиційних фільтрів безпеки.

Як працює шахрайство з Tasks: Використання довіри до легітимних інструментів

Ця схема має чітку та обдуману структуру. Зловмисники надсилають сповіщення, що виглядають як від Google Tasks, з повідомленням “У вас нове завдання” у темі. Створений контент є ілюзією реальності, імітуючи, що організація жертви впровадила систему управління завданнями Google як офіційний корпоративний інструмент.

Щоб посилити відчуття терміновості, зловмисники додають позначки високого пріоритету та жорсткі терміни у сповіщення, створюючи психологічний тиск, що зменшує критичне мислення співробітника. Коли користувач натискає на посилання у цій фальшивій повідомленні, його перенаправляють на підроблену сторінку, замасковану під форму “перевірки співробітника”.

Ця фальшива форма просить користувача ввести свої корпоративні дані для входу під приводом підтвердження статусу в компанії. Після захоплення ці дані стають воротами для несанкціонованого доступу до серверів, крадіжки конфіденційних даних і можливих ланцюгових атак на інфраструктуру компанії.

Соціальна інженерія у епоху шахрайства з Tasks: Чому співробітники потрапляють у пастки

Успіх цієї схеми зумовлений її розумним використанням соціальної інженерії. На відміну від звичайного фішингу, цей обман базується на абсолютній знайомості користувачів з екосистемою Google. Оскільки багато співробітників вже користуються Gmail, Google Drive та іншими інструментами гіганта технологій, природним є довіра до сповіщень із домену @google.com.

Компанія Kaspersky зазначає, що оскільки ці повідомлення походять із легітимних доменів, вони природно проходять багато фільтрів спаму та систем виявлення фішингу. Злочинець доповнює цю тактику елементами, що здаються частиною внутрішніх процесів компанії — специфічною корпоративною мовою, знайомими форматами, навіть натяками на внутрішні політики — що значно зменшує рівень підозри у жертви.

Роман Деденок, експерт з антиспаму компанії Kaspersky, коментує: “Соціальна інженерія, яка стоїть за шахрайством з Tasks, використовує швидкість сучасних корпорацій і довіру до хмарних сервісів. Зробити вигляд внутрішнього процесу компанії особливо ефективно, оскільки це пригнічує критичне мислення співробітників у той момент.”

Захист від шахрайства з Tasks: Основні стратегії корпоративної безпеки

У світлі цієї еволюційної загрози організації мають впроваджувати багаторівневий захист. По-перше, будь-яке запрошення або непрохані сповіщення слід сприймати з максимальною обережністю, незалежно від їхнього вигляду або походження. Співробітники мають ретельно перевіряти URL-адреси перед натисканням, щоб уникнути переадресації на фальшиві сторінки.

Важливо ніколи не дзвонити за номерами телефонів, вказаними у підозрілих листах; якщо потрібно зв’язатися з сервісом, краще знайти офіційний номер на сайті компанії. Вся підозріла активність має бути негайно повідомлена відділу IT та провайдеру платформи.

На корпоративному рівні багатофакторна автентифікація (MFA) для всіх облікових записів є цінним захистом, що значно ускладнює зловмисникам використання захоплених облікових даних. Політики безпеки мають регулярно оновлюватися, щоб враховувати нові тактики.

Спеціалізовані рішення проти шахрайства з Tasks

Для захисту корпоративних користувачів компанія Kaspersky пропонує рішення, такі як Kaspersky Security for Mail Server, яке реалізує багаторівневі механізми захисту, засновані на алгоритмах машинного навчання. Ці системи здатні виявляти підозрілі поведінкові шаблони та фішинг навіть тоді, коли атаки обходять традиційні фільтри.

Для індивідуальних користувачів Kaspersky Premium пропонує функції антифішингу на основі штучного інтелекту, спеціально розроблені для запобігання атакам, подібним до шахрайства з Tasks, і для зміцнення загальної кібербезпеки.

Загалом, злочинці продовжують використовувати легітимні платформи як засоби для шахрайства. Шахрайство з Tasks — лише один із прикладів тенденції, яка посилюється у 2026 році, коли кіберзлочинці перепрацьовують і адаптують свої тактики для зловживання довірливими екосистемами, якими щоденно користуються мільярди людей.