Atakujący wysyłają bardzo przekonujące fałszywe wiadomości e-mail „Google”, które omijają filtry antyspamowe, kierują ofiary przez kilka zaufanych usług należących do Google, a ostatecznie prowadzą do strony logowania Microsoft 365, która wygląda identycznie jak oryginalna i została zaprojektowana w celu pozyskania nazw użytkowników i haseł.
Badacze stwierdzono, że cyberprzestępcy wykorzystali Integracja aplikacji Google CloudFunkcja „Wyślij e-mail” służy do wysyłania wiadomości phishingowych z legalnego adresu Google: noreply-application-integration@google[.]com.
Google Cloud Application Integration umożliwia użytkownikom automatyzację procesów biznesowych poprzez połączenie dowolnej aplikacji za pomocą konfiguracji typu „wskaż i kliknij”. Nowi klienci otrzymują obecnie bezpłatne kredyty, co obniża barierę wejścia i może przyciągnąć niektórych cyberprzestępców.
Pierwsza wiadomość e-mail pochodzi z adresu, który wygląda jak prawdziwy adres Google i odnosi się do rutynowej i znanej sprawy, takiej jak powiadomienie o wiadomości głosowej, zadanie do wykonania lub uprawnienia dostępu do dokumentu. Wiadomość zawiera link do prawdziwego adresu URL Google Cloud Storage, więc adres internetowy wygląda na należący do Google i nie wydaje się być oczywistą fałszywką.
Po pierwszym kliknięciu użytkownik zostaje przekierowany do innej domeny powiązanej z Google (googleusercontent[.]com) z CAPTCHA lub sprawdzaniem obrazu. Po przejściu „sprawdzenia, że nie jesteś robotem” trafisz na stronę, która wygląda jak normalna strona logowania do Microsoft 365, ale po dokładniejszym przyjrzeniu się zauważysz, że adres internetowy nie jest oficjalną domeną Microsoftu.
Wszelkie dane uwierzytelniające podane na tej stronie zostaną przechwycone przez atakujących.
Wykorzystanie infrastruktury Google zapewnia phisherom wyższy poziom zaufania zarówno ze strony filtrów poczty elektronicznej, jak i użytkowników otrzymujących wiadomości. Nie jest to luka w zabezpieczeniach, a jedynie nadużycie usług w chmurze świadczonych przez Google.
Odpowiedź Google
Google poinformowało, że podjęło działania przeciwko tej działalności:
„Zablokowaliśmy kilka kampanii phishingowych związanych z nadużyciem funkcji powiadomień e-mailowych w ramach Google Cloud Application Integration. Co ważne, działanie to wynikało z nadużycia narzędzia do automatyzacji przepływu pracy, a nie z naruszenia bezpieczeństwa infrastruktury Google. Chociaż wdrożyliśmy zabezpieczenia chroniące użytkowników przed tym konkretnym atakiem, zachęcamy do zachowania ostrożności, ponieważ złośliwi aktorzy często próbują podszywać się pod zaufane marki. Podejmujemy dodatkowe kroki, aby zapobiec dalszym nadużyciom”.
Widzieliśmy kilka kampanii phishingowych, które wykorzystują zaufane procesy firm takich jak Google, PayPal, DocuSign i innych dostawców usług w chmurze, aby nadać wiarygodność wiadomościom phishingowym i przekierować ofiary na strony internetowe służące do pozyskiwania danych uwierzytelniających.
Jak zachować bezpieczeństwo
Kampanie takie jak ta pokazują, że część odpowiedzialności za wykrywanie wiadomości phishingowych nadal spoczywa na odbiorcy. Oprócz bycia na bieżąco, oto kilka innych wskazówek, których możesz przestrzegać, aby zachować bezpieczeństwo.
- Zawsze sprawdzaj rzeczywisty adres internetowykażdej strony logowania; jeśli nie jest to prawdziwa domena Microsoft, nie wprowadzaj danych uwierzytelniających. Pomocne będzie użycie menedżera haseł, ponieważ nie wypełnia on automatycznie danych na fałszywych stronach internetowych.
- Należy zachować ostrożność w przypadku „pilnych” wiadomości e-mail dotyczących wiadomości głosowych, udostępniania dokumentów lub uprawnień, nawet jeśli wydają się pochodzić od Google lub Microsoft. Tworzenie poczucia pilności jest częstą taktyką stosowaną przez oszustów i phisherów.
- W miarę możliwości przejdź bezpośrednio do usługi. Zamiast klikać linki w wiadomościach e-mail, otwórz OneDrive, Teams lub Outlook, korzystając ze zwykłej zakładki lub aplikacji.
- Korzystaj z uwierzytelniania wieloskładnikowego (MFA), aby samo wykradzione hasło nie wystarczyło, oraz regularnie sprawdzaj, które aplikacje mają dostęp do Twojego konta, i usuwaj wszystkie, których nie rozpoznajesz.
Wskazówka dla profesjonalistów:Malwarebytes Guard potrafi rozpoznać takie wiadomości e-mail jako oszustwa. Możeszprzesłać podejrzane teksty, wiadomości e-mail, załączniki i inne pliki i poprosić o opinię. Program ten naprawdę bardzo dobrze rozpoznaje oszustwa.
Nie tylko informujemy o oszustwach - pomagamy je wykrywać
Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Jeśli coś wydaje Ci się podejrzane, sprawdź, czy nie jest to oszustwo, korzystając z Malwarebytes Guard. Prześlij zrzut ekranu, wklej podejrzaną treść lub udostępnij link, tekst lub numer telefonu, a my powiemy Ci, czy jest to oszustwo, czy legalna strona. Funkcja dostępna w ramach Malwarebytes Premium dla wszystkich urządzeń oraz w Malwarebytes na iOS Android.
