Злоумышленники рассылают очень убедительные поддельные электронные письма от имени «Google», которые проходят через спам-фильтры, направляют жертв через несколько надежных сервисов, принадлежащих Google, и в конечном итоге приводят к похожей странице входа в Microsoft 365, предназначенной для сбора имен пользователей и паролей.
Исследователи обнаружил, что киберпреступники использовали Интеграция приложений Google CloudФункция «Отправить электронное письмо» для отправки фишинговых писем с легитимного адреса Google: noreply-application-integration@google[.]com.
Google Cloud Application Integration позволяет пользователям автоматизировать бизнес-процессы, подключая любое приложение с помощью конфигураций типа «укажи и щелкни». Новые клиенты в настоящее время получают бесплатные кредиты, что снижает барьер для входа и может привлечь некоторых киберпреступников.
Первоначальное электронное письмо приходит с адреса, который выглядит как настоящий адрес Google, и содержит ссылку на что-то обычное и знакомое, например, уведомление о голосовом сообщении, задачу, которую необходимо выполнить, или разрешение на доступ к документу. Электронное письмо содержит ссылку, которая ведет на подлинный URL-адрес Google Cloud Storage, поэтому веб-адрес выглядит как принадлежащий Google и не вызывает подозрений в подделке.
После первого клика вы перенаправляетесь на другой домен, связанный с Google (googleusercontent[.]com) с отображением CAPTCHA или проверки изображения. После прохождения проверки «Я не робот» вы попадаете на страницу, которая выглядит как обычная страница входа в Microsoft 365, но при внимательном рассмотрении становится ясно, что веб-адрес не является официальным доменом Microsoft.
Любые учетные данные, предоставленные на этом сайте, будут перехвачены злоумышленниками.
Использование инфраструктуры Google обеспечивает фишерам более высокий уровень доверия со стороны как почтовых фильтров, так и получающих пользователей. Это не уязвимость, а просто злоупотребление облачными сервисами, предоставляемыми Google.
Ответ Google
Google заявил, что принял меры против этой деятельности:
«Мы заблокировали несколько фишинговых кампаний, связанных с неправомерным использованием функции уведомлений по электронной почте в Google Cloud Application Integration. Важно отметить, что эта деятельность была связана со злоупотреблением инструментом автоматизации рабочих процессов, а не с взломом инфраструктуры Google. Хотя мы внедрили меры защиты, чтобы защитить пользователей от этой конкретной атаки, мы рекомендуем сохранять бдительность, поскольку злоумышленники часто пытаются подделать надежные бренды. Мы принимаем дополнительные меры для предотвращения дальнейшего неправомерного использования».
Мы наблюдали несколько фишинговых кампаний, в которых злоумышленники злоупотребляли доверенными рабочими процессами таких компаний, как Google, PayPal, DocuSign и других поставщиков облачных услуг, чтобы придать достоверность фишинговым электронным письмам и перенаправить целевых пользователей на свои веб-сайты для сбора учетных данных.
Как оставаться в безопасности
Подобные кампании показывают, что часть ответственности за выявление фишинговых писем по-прежнему лежит на получателе. Помимо того, что нужно быть в курсе событий, вот еще несколько советов, которые помогут вам обеспечить свою безопасность.
- Всегда проверяйте фактический веб-адреслюбой страницы входа в систему; если это не подлинный домен Microsoft, не вводите учетные данные. Использование менеджера паролей поможет, поскольку он не будет автоматически заполнять ваши данные на поддельных веб-сайтах.
- Будьте осторожны с «срочными» письмами о голосовых сообщениях, совместном доступе к документам или разрешениях, даже если они кажутся отправленными от Google или Microsoft. Создание ощущения срочности — распространенная тактика мошенников и фишеров.
- По возможности переходите к службе напрямую. Вместо того чтобы нажимать ссылки в электронных письмах, открывайте OneDrive, Teams или Outlook с помощью обычной закладки или приложения.
- Используйте многофакторную аутентификацию (MFA), чтобы одной украденной пароли было недостаточно, а также регулярно проверяйте, какие приложения имеют доступ к вашей учетной записи, и удаляйте все, что вам не знакомо.
Совет от профессионала:Malwarebytes Guard может распознавать такие электронные письма как мошеннические. Выможете загрузить подозрительный текст, электронные письма, вложения и другие файлы и запросить его мнение. Он действительно очень хорошо распознает мошенничество.
Мы не просто сообщаем о мошенничестве - мы помогаем его обнаружить.
Риски кибербезопасности не должны выходить за рамки заголовков новостей. Если что-то кажется вам подозрительным, проверьте, не является ли это мошенничеством, с помощью Malwarebytes Guard. Отправьте скриншот, вставьте подозрительный контент или поделитесь ссылкой, текстом или номером телефона, и мы сообщим вам, является ли это мошенничеством или законным. Доступно с Malwarebytes Premium для всех ваших устройств, а также в Malwarebytes для iOS Android.
