Киберпреступники стали чаще использовать сервисы Google в фишинговых кампаниях

Исследователи в области безопасности сообщили о росте числа кибератак, использующих сервисы Google в качестве оружия для обхода средств защиты и кражи учетных данных, данных кредитных карт и другой личной информации.

Команда специалистов из Armorblox провела анализ пяти фишинговых кампаний, которые они называют «верхушкой глубокого айсберга». В ходе атак используются функции нескольких сервисов Google, включая Google Forms, Google Docs, Google Site и Firebase, мобильную платформу Google для разработки приложений.

«Google предлагает все эти сервисы, значительно упрощающие создание приложений. Это фактически побуждает злоумышленников переходить на Google вместо того, чтобы самостоятельно разрабатывать сайт… в некотором смысле это также добавляет доверия к фишинговым сайтам, размещенным на Google», — сообщили эксперты.

Например, одно из фишинговых электронных писем было отправлено якобы от имени сотрудников American Express и информировало получателей, что они не предоставили информацию при проверке своей карты. Ссылка в письме перенаправляет пользователя на страницу, где он может ввести свои данные. Страница размещена на Google Forms, содержит брендинг American Express и предлагает жертве ввести учетные данные, данные кредитной карты и даже указать девичью фамилию матери (распространенный секретный вопрос).

В ходе другой атаки преступники выдавали себя за команду безопасности предприятия с помощью электронного письма, информирующего жертву о том, что они не получили «критически важное» сообщение из-за проблемы с квотой хранилища. В электронном письме содержится ссылка, по которой они якобы могут проверить свои данные и перезапустить доставку электронной почты. URL-адрес перенаправляет на поддельную страницу авторизации, размещенную на Firebase, где жертва видит свой адрес электронной почты, предварительно заполненный над запросом пароля.

Имитация методов «быстрого заполнения», используемых в формах на легитимных web-сайтах, обычно используется киберпреступниками, чтобы вызвать ложное чувство безопасности жертв. URL-адрес проходит через одно перенаправление перед тем, как попасть на страницу Firebase, скрывая атаку от любой технологии безопасности, которая может попытаться отследить ее.