Gli aggressori inviano e-mail false molto convincenti che sembrano provenire da Google, che superano i filtri antispam, indirizzano le vittime attraverso diversi servizi affidabili di proprietà di Google e, infine, conducono a una pagina di accesso simile a quella di Microsoft 365, progettata per raccogliere nomi utente e password.
Ricercatori ha scoperto che i criminali informatici hanno utilizzato Integrazione delle applicazioni Google CloudLa funzione "Invia email" per inviare email di phishing da un indirizzo Google legittimo: noreply-application-integration@google[.]com.
Google Cloud Application Integration consente agli utenti di automatizzare i processi aziendali collegando qualsiasi applicazione con configurazioni point-and-click. I nuovi clienti ricevono attualmente crediti gratuiti, il che riduce la barriera all'ingresso e potrebbe attirare alcuni criminali informatici.
L'e-mail iniziale arriva da quello che sembra un indirizzo Google autentico e fa riferimento a qualcosa di routinario e familiare, come una notifica di messaggio vocale, un'attività da completare o le autorizzazioni per accedere a un documento. L'e-mail include un link che rimanda a un URL autentico di Google Cloud Storage, quindi l'indirizzo web sembra appartenere a Google e non sembra chiaramente falso.
Dopo il primo clic, si viene reindirizzati a un altro dominio correlato a Google (googleusercontent[.]com) che mostra un CAPTCHA o un controllo immagine. Una volta superato il controllo "Non sono un robot", si accede a quella che sembra una normale pagina di accesso a Microsoft 365, ma a un esame più attento si nota che l'indirizzo web non è un dominio Microsoft ufficiale.
Qualsiasi credenziale fornita su questo sito verrà acquisita dagli aggressori.
L'uso dell'infrastruttura di Google offre ai phisher un livello di affidabilità più elevato sia da parte dei filtri e-mail che degli utenti destinatari. Non si tratta di una vulnerabilità, ma solo di un abuso dei servizi basati su cloud forniti da Google.
La risposta di Google
Google ha dichiarato di aver intrapreso azioni contro tale attività:
"Abbiamo bloccato diverse campagne di phishing che comportavano l'uso improprio di una funzione di notifica e-mail all'interno di Google Cloud Application Integration. È importante sottolineare che questa attività derivava dall'uso improprio di uno strumento di automazione del flusso di lavoro, non da una compromissione dell'infrastruttura di Google. Sebbene abbiamo implementato protezioni per difendere gli utenti da questo specifico attacco, invitiamo a mantenere la massima cautela, poiché gli autori di attacchi malevoli tentano spesso di spoofare marchi affidabili. Stiamo adottando ulteriori misure per prevenire ulteriori abusi".
Abbiamo assistito a diverse campagne di phishing che abusano dei flussi di lavoro affidabili di aziende come Google, PayPal, DocuSign e altri fornitori di servizi basati su cloud per conferire credibilità alle e-mail di phishing e reindirizzare i destinatari verso i loro siti web di raccolta delle credenziali.
Come stare al sicuro
Campagne come queste dimostrano che una parte della responsabilità nell'individuare le e-mail di phishing spetta ancora al destinatario. Oltre a tenersi informati, ecco alcuni altri consigli che è possibile seguire per garantire la propria sicurezza.
- Controlla sempre l'indirizzo web effettivodi qualsiasi pagina di accesso; se non si tratta di un dominio Microsoft autentico, non inserire le credenziali. L'uso di un gestore di password ti aiuterà, perché non inserirà automaticamente i tuoi dati su siti web falsi.
- Presta attenzione alle e-mail "urgenti" relative a messaggi vocali, condivisione di documenti o autorizzazioni, anche se sembrano provenire da Google o Microsoft. Creare un senso di urgenza è una tattica comune utilizzata dai truffatori e dai phisher.
- Quando possibile, accedi direttamente al servizio. Invece di cliccare sui link contenuti nelle e-mail, apri OneDrive, Teams o Outlook utilizzando il tuo normale segnalibro o la tua app.
- Utilizza l'autenticazione a più fattori (MFA) in modo che le password rubate da sole non siano sufficienti, controlla regolarmente quali app hanno accesso al tuo account e rimuovi quelle che non riconosci.
Suggerimento professionale:Malwarebytes Guard è in grado di riconoscere email come questa come truffe. È possibilecaricare testi sospetti, email, allegati e altri file e chiedere il suo parere. È davvero molto efficace nel riconoscere le truffe.
Non ci limitiamo a segnalare le truffe, ma aiutiamo a individuarle.
I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Se qualcosa ti sembra sospetto, verifica se si tratta di una truffa utilizzando Malwarebytes Guard. Invia uno screenshot, incolla il contenuto sospetto o condividi un link, un testo o un numero di telefono e ti diremo se si tratta di una truffa o di qualcosa di legittimo. Disponibile con Malwarebytes Premium per tutti i tuoi dispositivi e Malwarebytes per iOS Android.
