Selon le blog de Check Point, une campagne active de phishing a exploité l’infrastructure de Google Classroom pour diffuser plus de 115 000 emails entre le 6 et le 12 août 2025, visant 13 500 organisations à travers plusieurs régions.

  • Vecteur : Abus de Google Classroom via de fausses invitations à rejoindre des classes, contenant des offres commerciales sans rapport (revente de produits, services SEO). 🎓
  • Appel à l’action : Redirection vers un numéro WhatsApp afin de déplacer l’échange hors des canaux surveillés par l’entreprise. 📱
  • Portée : 5 vagues coordonnées en une semaine, ciblant des organisations en Europe, Amérique du Nord, Moyen-Orient et Asie.
  • Objectif tactique : Tirer parti de la confiance accordée aux services Google pour contourner des filtres basés sur la réputation de l’expéditeur.

Check Point indique que Harmony Email & Collaboration (SmartPhish) a détecté et bloqué la majorité des tentatives, et que des couches additionnelles ont empêché le reste d’atteindre les utilisateurs finaux. L’éditeur souligne l’augmentation de l’armement de services cloud légitimes, rendant insuffisants certains passerelles email traditionnelles face aux techniques évolutives de phishing.

Recommandations mentionnées par Check Point :

  • Former les utilisateurs à se méfier des invitations inattendues, même issues de plateformes connues.
  • Déployer des capacités avancées d’analyse contextuelle et d’intention (au-delà de la réputation).
  • Surveiller les applications cloud et les plateformes collaboratives au-delà de l’email.
  • Se prémunir contre l’ingénierie sociale, notamment les bascules vers des canaux hors contrôle (ex. WhatsApp).

IOCs et TTPs observés :

  • IOCs :
    • Numéros WhatsApp utilisés comme point de contact (présents dans les emails).
  • TTPs :
    • Abus d’un service légitime (Google Classroom) pour la livraison.
    • Fausse invitation Classroom avec contenus commerciaux non liés à l’éducation.
    • Déport hors-canal (WhatsApp) pour échapper à la surveillance email.
    • Campagne en multiples vagues et contournement de défenses basées sur la confiance de l’infrastructure émettrice.

Conclusion : article de type analyse de menace par un éditeur, présentant une campagne de phishing à grande échelle et la manière dont sa solution l’a bloquée, avec un objectif d’information et de démonstration des capacités produit.

🧠 TTPs et IOCs détectés

TTP

[‘Abus d’un service légitime (Google Classroom) pour la livraison’, ‘Fausse invitation Classroom avec contenus commerciaux non liés à l’éducation’, ‘Déport hors-canal (WhatsApp) pour échapper à la surveillance email’, ‘Campagne en multiples vagues et contournement de défenses basées sur la confiance de l’infrastructure émettrice’]

IOC

[‘Numéros WhatsApp utilisés comme point de contact (présents dans les emails)’]

🔗 Source originale : https://blog.checkpoint.com/email-security/phishing-in-the-classroom-115000-emails-exploit-google-classroom-to-target-13500-organizations/