Киберпреступники стали чаще использовать сервисы Google в фишинговых кампаниях
Исследователи в области безопасности сообщили о росте числа кибератак, использующих сервисы Google в качестве оружия для обхода средств защиты и кражи учетных данных, данных кредитных карт и другой личной информации.
Команда специалистов из Armorblox провела анализ пяти фишинговых кампаний, которые они называют "верхушкой глубокого айсберга". В ходе атак используются функции нескольких сервисов Google, включая Google Forms, Google Docs, Google Site и Firebase, мобильную платформу Google для разработки приложений.
"Google предлагает все эти сервисы, значительно упрощающие создание приложений. Это фактически побуждает злоумышленников переходить на Google вместо того, чтобы самостоятельно разрабатывать сайт... в некотором смысле это также добавляет доверия к фишинговым сайтам, размещенным на Google", - сообщили эксперты.
Например, одно из фишинговых электронных писем было отправлено якобы от имени сотрудников American Express и информировало получателей, что они не предоставили информацию при проверке своей карты. Ссылка в письме перенаправляет пользователя на страницу, где он может ввести свои данные. Страница размещена на Google Forms, содержит брендинг American Express и предлагает жертве ввести учетные данные, данные кредитной карты и даже указать девичью фамилию матери (распространенный секретный вопрос).
В ходе другой атаки преступники выдавали себя за команду безопасности предприятия с помощью электронного письма, информирующего жертву о том, что они не получили "критически важное" сообщение из-за проблемы с квотой хранилища. В электронном письме содержится ссылка, по которой они якобы могут проверить свои данные и перезапустить доставку электронной почты. URL-адрес перенаправляет на поддельную страницу авторизации, размещенную на Firebase, где жертва видит свой адрес электронной почты, предварительно заполненный над запросом пароля.
Имитация методов "быстрого заполнения", используемых в формах на легитимных web-сайтах, обычно используется киберпреступниками, чтобы вызвать ложное чувство безопасности жертв. URL-адрес проходит через одно перенаправление перед тем, как попасть на страницу Firebase, скрывая атаку от любой технологии безопасности, которая может попытаться отследить ее.