Nová vlna phishingových útoků se zaměřila na zneužití důvěry v Google služby. Podle bezpečnostních expertů z Check Pointu bylo během dvou týdnů rozesláno téměř 9 400 e-mailů z legitimních Google domén. Cílem se stalo více než 3 200 firem, především z USA, a to v oblasti výroby, technologií a financí.
Služby Google byly zneužity pro podvodné praktiky
Útočníci zneužili e-mailovou adresu noreply-application-integration@google.com, která je součástí Google Cloud Application Integration. Jedná se o legitimní cloudové služby Googlu určené ke propojování aplikací, API a datových zdrojů bez nutnosti programování. E-maily odeslané touto cestou tak prošly přes důvěryhodnou infrastrukturu Googlu, což výrazně zvýšilo jejich důvěryhodnost v očích příjemců.
Zdroj: Android Headlines
Obsah zpráv napodoboval grafiku a styl běžných oznámení od Googlu, včetně výzev k přehrání hlasové zprávy nebo upozornění na nový dokument ke zhlédnutí. Po kliknutí na odkaz byli uživatelé přesměrováni přes domény storage.cloud.google.com a googleusercontent.com na podvrženou přihlašovací stránku Microsoftu.
Zdroj: Android Headlines
Útok byl důmyslný v tom, že mezičlánky využívaly CAPTCHA imitaci, která měla zabránit bezpečnostním nástrojům detekovat cílovou škodlivou stránku.
Kdo byl postižen tímto útokem?
Zasaženy byly především firmy ve Spojených státech, konkrétně 48,6 % všech obětí. Dále následovaly regiony Asie a Pacifiku (20,7 %) a Evropa (19,8 %). Nejčastěji napadené oblasti byly:
- Výroba a průmysl – 19,6 %
- Technologie a SaaS – 18,9 %
- Finance, bankovnictví a pojišťovnictví – 14,8 %
Jednalo se o zneužití, nikoliv o průnik do systému
Podle Googlu se nejednalo o bezpečnostní chybu ani narušení infrastruktury, ale o zneužití legálních funkcí automatizace v rámci Google Cloud. Útočníci si pravděpodobně vytvořili nebo kompromitovali Google Cloud projekt a nakonfigurovali workflow, které odesílalo e-maily přes Gmail API nebo jiné propojené služby.
Zdroj: Android Headlines
Google již několik těchto kampaní zablokoval a doplnil ochranu. „Tato aktivita vychází ze zneužití nástroje pro automatizaci workflow, nikoli z narušení infrastruktury Googlu. Přijímáme další opatření, abychom zabránili dalšímu zneužití,“ uvedla společnost v reakci pro Check Point.
Jak se chránit?
Tato kampaň znovu připomíná, jak snadno může být důvěryhodná značka zneužita k podvodům. I když je zpráva odeslána z legitimní domény, je třeba zůstat v obezřetnosti:
- Neklikat bez rozmyslu na odkazy ve zprávách, které se tváří jako by pocházely od známých služeb
- Všímat si podivných přesměrování nebo neobvyklých domén v URL adrese
- Vždy ověřit důvěryhodnost přihlašovacích stránek
- Využívat dvoufázové ověření a firemní bezpečnostní nástroje
Zdroj: androidheadlines.com