Google pakalpojumi un uzticība, ko tie ievieš patērētājos, regulāri kļūst par upuriem pikšķerēšanas kampaņās. Šoreiz imitēts Google Cloud.
Kārtējo reizi uzticami Google pakalpojumi ir attapušies kiberkrāpnieku arsenālā. Šoreiz tie tiek izmantoti pikšķerēšanas uzbrukumos, kas ir pietiekami pārliecinoši, lai upuri paši uzklikšķinātu uz ļaunprātīgām saitēm un atdotu savus piekļuves datus.
Kiberdrošības uzņēmuma Check Point jaunajā ziņojumā norādīts, ka divu nedēļu laikā fiksēti gandrīz 10 000 pikšķerēšanas e-pastu, kas nosūtīti aptuveni 3 200 uzņēmumiem. Visi šie ziņojumi nākuši no adreses [email protected], kas nozīmē, ka uzbrukumā ļaunprātīgi izmantots Google Cloud Application Integration pakalpojums.
Ja neesat informēts par to, ko šis pakalpojums paredz, tad Google Cloud Application Integration ir pārvaldīts mākoņpakalpojums, kas ļauj uzņēmumiem savienot lietotnes, API un datu avotus bez papildu programmēšanas.
To plaši izmanto automatizētu darbplūsmu veidošanai starp mākoņpakalpojumiem, SaaS risinājumiem un iekšējām sistēmām. E-pasti, kas ģenerēti ar šo rīku, tiek sūtīti no uzņēmuma infrastruktūras un manto uzņēmuma reputāciju. Tieši šī mantotā uzticība padara šos e-pastus tik efektīvus krāpniecības nolūkiem.
Svarīgi uzsvērt – šajā gadījumā nav runa par Google sistēmu uzlaušanu. Uzbrucēji vai nu izveidoja, vai kompromitēja Google Cloud projektus un konfigurēja automatizētas darbplūsmas, kas sūta e-pastus, izmantojot Gmail API vai citus pieslēgtus e-pasta pakalpojumus.
Šis ir piemērs ļaunprātīgai pakalpojuma izmantošanai, nevis “caurumiem” drošības sistēmā.
Lai ziņojumi izskatītos vēl ticamāk, tie precīzi atdarināja paša uzņēmuma rakstīšanas stilu, valodu un noformējumu. Visbiežāk izmantotie iegansti? It kā saņemta balss ziņa vai paziņojums par koplietotu dokumentu.
No Google saites līdz viltotai Microsoft lapai
Uzbrukuma ķēde ir īpaši izsmalcināta. Saite e-pastā vispirms ved uz storage.google.cloud.com, kas ir leģitīms Google Cloud domēns.
No turienes lietotājs tiek pāradresēts uz googleusercontent.com, kur jāizpilda viltots CAPTCHA tests, kas paredzēts, lai apmānītu drošības skenerus. Tikai pēc tam upuris nonāk viltotā Microsoft pierakstīšanās lapā, kur arī tiek izkrāpti piekļuves dati.
Lielākā daļa upuru atradās ASV, prot, 48,6% no kopējā upuru skaita. Nozares ziņā visbiežāk cieta ražošanas un industriālie uzņēmumi (19,6%), tehnoloģiju un SaaS sektors (18,9%), kā arī finanšu, banku un apdrošināšanas joma (14,8%).
Check Point apstiprināja, ka vairākas šādas kampaņas jau ir bloķētas. Uzņēmums uzsver, ka incidenti nav saistīti ar Google infrastruktūras kompromitēšanu, bet gan ar automatizācijas rīka ļaunprātīgu izmantošanu.
Vienlaikus uzņēmums norāda, ka ir ieviesti papildu aizsardzības pasākumi un tiek sperti soļi, lai novērstu līdzīgu gadījumu atkārtošanos. Uzņēmuma vēstījums gan paliek nemainīgs – pat ja ziņojums nāk no šķietami uzticama zīmola, piesardzība joprojām ir labākā aizsardzība.
Avots: TechRadar
