Hakerzy wykorzystują Google Forms (formularze Google) do ominięcia filtrów treści zabezpieczeń poczty elektronicznej opartych na słowach kluczowych.
Analitycy twierdzą, że zaobserwowali tysiące wiadomości wykorzystujących Formularze Google, skierowanych do firm z branży detalicznej, telekomunikacyjnej, opieki zdrowotnej, energetycznej i produkcyjnej w ramach kampanii rozpoznawczej mającej na celu zainicjowanie przyszłych ataków typu BEC (business email compromises).
Atakujący wykorzystali Formularze Google do ominięcia filtrów zawartości poczty elektronicznej opartych na słowach kluczowych – poinformował Proofpoint Threat Research. Badacze twierdzą, że hybrydowy atak wykorzystywał Formularze Google wraz z elementami socjotechnicznymi.
Aby ominąć filtry wejściowe i wyjściowe atakujący przygotowali i rozsyłali e-maile zawierające linki do formularzy Google z unikalnych adresów kadry kierowniczej wyższego szczebla. Wiadomości są proste, ale przekazują poczucie pilności i wymagają od użytkownika wykonania „pilnego zadania” w odpowiedzi na wiadomość od nadawcy, który twierdzi, że zmierza na spotkanie lub jest zbyt zajęty i nie ma czasu, aby samodzielnie zająć się tematem.
Link w wiadomości e-mail prowadzi użytkownika do domyślnego formularza bez tytułu, umieszczonego na serwerze Google Forms. Atakujący stara się przede wszystkim wymusić odpowiedź od ofiary pod pretekstem, że ankieta jest błędna lub nie spełnia jej oczekiwań. Jako cel drugorzędny, formularz prawdopodobnie służy jako test, aby sprawdzić, czy ktoś go wypełni (a tym samym funkcjonuje jako technika rozpoznawcza) mająca na celu wyłonienie użytkowników, którzy mogą być podatni na kliknięcie podejrzanego linku znalezionego w wiadomości e-mail.
Biorąc pod uwagę skupienie się na kadrze zarządzającej, badacze Proofpointa twierdzą, że jest to prawdopodobnie kampania rozpoznawcza mająca na celu wybranie celu dla nieokreślonych dalszych ataków. Ton pilności wiadomości e-mail jest spójny z poprzednimi działaniami w ramach ataków typu BEC.
„Biorąc pod uwagę, że e-maile phishingowe zawierały znaczące błędy gramatyczne, domena e-maila wyglądała na fałszywą, a ankieta Google Forms była źle skonstruowana, taktyka ta w obecnym stanie prawdopodobnie nie byłaby wysoce skuteczna” – powiedział Merritt. „Jednakże, wykorzystanie tej techniki w przyszłych atakach mogłoby być wysoko użyteczne i skuteczne, gdyby warunki były odpowiednie. Na przykład, gdyby wiadomość phishingowa była skierowana do szerokiej grupy osób za pomocą fałszywej wiadomości e-mail, która wyglądałaby na prawdziwą i zawierała pilną prośbę o szybką reakcję, szanse powodzenia byłyby znacznie większe.”
Atak uwydatnia fakt, że technologie obrony bezpieczeństwa IT, takie jak filtrowanie poczty elektronicznej i zapory sieciowe (firewall’e), z punktu widzenia hakerów są jedynie „interesującymi wyzwaniami do pokonania” twierdzi dyrektor generalny Lucy Security, Colin Bastable. „Firmy potrzebują holistycznej obrony skupionej wokół celów hakerów: pracowników. Na wszelkie sposoby, wdrażaj techniczne zabezpieczenia, ale one nigdy nie będą wystarczające” – stwierdził Bastable. „Naucz pracowników, wystawiając ich na symulowane ataki w świecie rzeczywistym, a będą oni o wiele bardziej skutecznymi obrońcami niż wszystkie firewalle i bariery w twojej firmie” – radzi. „Menedżerowie powinni być również uczeni, aby traktować wszystko, co wydaje się pochodzić z niby-zaufanych źródel (np. Formularze Google’a) z ostrożnością. Aż 97% wszystkich naruszeń wiąże się z inżynierią społeczną”
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot