Aanvallers versturen zeer overtuigende valse 'Google'-e-mails die door spamfilters heen glippen, slachtoffers via verschillende vertrouwde Google-diensten leiden en uiteindelijk uitkomen op een identieke Microsoft 365-aanmeldingspagina die is ontworpen om gebruikersnamen en wachtwoorden te verzamelen.
Onderzoekers ontdekte dat cybercriminelen gebruik maakten van Google Cloud-applicatie-integratieDe functie 'E-mail verzenden' om phishing-e-mails te versturen vanaf een legitiem Google-adres: noreply-application-integration@google[.]com.
Met Google Cloud Application Integration kunnen gebruikers bedrijfsprocessen automatiseren door elke applicatie te koppelen met point-and-click-configuraties. Nieuwe klanten krijgen momenteel gratis credits, wat de drempel om te beginnen verlaagt en mogelijk cybercriminelen aantrekt.
De eerste e-mail komt van wat lijkt op een echt Google-adres en verwijst naar iets alledaags en vertrouwds, zoals een voicemailmelding, een taak die moet worden voltooid of toestemming om toegang te krijgen tot een document. De e-mail bevat een link die verwijst naar een echte Google Cloud Storage-URL, zodat het webadres lijkt te behoren tot Google en niet duidelijk nep lijkt.
Na de eerste klik wordt u doorgestuurd naar een ander domein dat verband houdt met Google (googleusercontent[.]com) met een CAPTCHA of afbeeldingscontrole. Zodra u de 'Ik ben geen robot'-controle hebt doorstaan, komt u terecht op wat lijkt op een normale aanmeldingspagina van Microsoft 365, maar bij nader inzien is het webadres geen officieel domein van Microsoft.
Alle inloggegevens die op deze site worden verstrekt, worden door de aanvallers onderschept.
Het gebruik van de infrastructuur van Google zorgt ervoor dat phishers meer vertrouwen genieten bij zowel e-mailfilters als de ontvangende gebruikers. Dit is geen kwetsbaarheid, maar gewoon misbruik van de clouddiensten die Google aanbiedt.
Reactie van Google
Google heeft gezegd dat het maatregelen heeft genomen tegen deze activiteit:
"We hebben verschillende phishingcampagnes geblokkeerd waarbij misbruik werd gemaakt van een e-mailmeldingsfunctie binnen Google Cloud Application Integration. Belangrijk is dat deze activiteit voortkwam uit misbruik van een tool voor workflowautomatisering, en niet uit een inbreuk op de infrastructuur van Google. Hoewel we beveiligingen hebben geïmplementeerd om gebruikers tegen deze specifieke aanval te beschermen, raden we aan om voorzichtig te blijven, aangezien kwaadwillende actoren vaak pogingen doen om vertrouwde merken te vervalsen. We nemen aanvullende maatregelen om verder misbruik te voorkomen."
We hebben verschillende phishingcampagnes gezien die misbruik maken van vertrouwde workflows van bedrijven als Google, PayPal, DocuSign en andere cloudgebaseerde dienstverleners om phishing-e-mails geloofwaardig te maken en doelwitten om te leiden naar hun websites waar ze inloggegevens verzamelen.
Hoe blijf ik veilig
Campagnes zoals deze laten zien dat de ontvanger nog steeds een deel van de verantwoordelijkheid draagt voor het herkennen van phishing-e-mails. Naast goed geïnformeerd blijven, zijn hier nog enkele andere tips die u kunt volgen om veilig te blijven.
- Controleer altijd het daadwerkelijke webadresvan elke inlogpagina; als het geen echt Microsoft-domein is, voer dan geen inloggegevens in. Het gebruik van een wachtwoordbeheerder helpt, omdat deze uw gegevens niet automatisch invult op valse websites.
- Wees voorzichtig met 'dringende' e-mails over voicemails, het delen van documenten of machtigingen, zelfs als ze afkomstig lijken te zijn van Google of Microsoft. Het creëren van urgentie is een veelgebruikte tactiek van oplichters en phishers.
- Ga indien mogelijk rechtstreeks naar de dienst. In plaats van op links in e-mails te klikken, opent u OneDrive, Teams of Outlook via uw normale bladwijzer of app.
- Gebruik meervoudige authenticatie (MFA) zodat gestolen wachtwoorden alleen niet voldoende zijn, en controleer regelmatig welke apps toegang hebben tot uw account en verwijder alles wat u niet herkent.
Pro-tip:Malwarebytes Guard kan dit soort e-mails herkennen als oplichting. Jekunt verdachte teksten, e-mails, bijlagen en andere bestanden uploaden en om advies vragen. Het programma is erg goed in het herkennen van oplichting.
We rapporteren niet alleen over zwendel, we helpen ook bij het opsporen ervan
Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Als iets u verdacht lijkt, controleer dan of het om oplichting gaat met Malwarebytes Guard. Stuur een screenshot, plak verdachte inhoud of deel een link, tekst of telefoonnummer, en wij vertellen u of het om oplichting gaat of dat het legitiem is. Beschikbaar met Malwarebytes Premium voor al uw apparaten en in de Malwarebytes voor iOS Android.
