Фишинговые атаки

Они скрываются и в облачных сервисах Google

Исследователи Check Point наблюдают тенденцию, когда хакеры маскируют фишинговые атаки в облачных сервисах Google. Это значительно усложняет их распознавание

  • Хакеры загружают PDF-документ, который содержит фишинговую страницу, на Google Drive
  • Фишинговая страница запрашивает учетные данные Office365 и показывает настоящий отчет в формате PDF, опубликованный известной международной консалтинговой компанией.

Исследователи из Check Point предупреждают о активно растущей тенденции: хакеры маскируют фишинговые атаки на Google Cloud Platform (GCP). Используя расширенные функции в известной облачной службе для хранения документов, хакеры могут лучше маскировать свои атаки и не попадать под традиционные «красные флажки» фишинга, которые традиционно ищут люди –– например, такие как подозрительно выглядящие домены или веб-сайты без сертификата HTTPS.

Хакер использует расширенные функции облачных платформ для проведения фишинговой атаки

В этом году исследователи Check Point столкнулись с атакой, которая начиналась с того, что злоумышленники загружали на Google Drive PDF-документ, который содержал ссылку на фишинговую страницу. На фишинговой странице, размещенной на storage.googleapis [.] Com / asharepoint-unwearied-439052791 / index.html, пользователю предлагалось войти в систему с помощью Office 365 или корпоративной электронной почты. Когда он  выбирал один из вариантов, появлялось всплывающее окно со страницей входа в Outlook. После ввода учетных данных пользователь получал отчет в формате PDF, опубликованный известной международной консалтинговой фирмой. На протяжении всего времени он даже не испытывал подозрений: фишинговая страница размещалась в облачном хранилище Google.

Однако просмотр исходного кода фишинговой страницы показал, что большинство ресурсов загружаются с веб-сайта, принадлежащего злоумышленникам, prvtsmtp [.] com. Злоумышленники используют сервис Google Cloud Functions, который позволяет запускать код в облаке. Ресурсы на фишинговой странице были загружены из экземпляра Google Cloud Functions без раскрытия собственных вредоносных доменов злоумышленников. Многие другие домены, связанные с этой фишинг-атакой, были привязаны к одному и тому же IP-адресу или к разным в одном и том же сетевом блоке.

«Хакеров привлекают облачные сервисы для хранения данных, которые мы часто используем и которым мы доверяем –– а это значительно затрудняет выявление фишинг-атак. Традиционные «красные флаги» фишинговых атак, например, такие как похожие домены или веб-сайты без сертификатов, уже не сильно нам помогут, –– рассказывает Лотем Финкельстин, ведущий эксперт по анализу угроз Check Point. –– Пользователи облачной платформы Google, даже пользователи AWS и Azure, должны очень внимательно относиться к этой тенденции. Защита начинается с того, что пользователи очень внимательно и осторожно относятся ко всем полученным файлам».

Как оставаться в безопасности:

  1. Проверяйте названия доменов, орфографических ошибок в электронных письмах или на веб-сайтах, незнакомых отправителей электронной почты.
  2. Будьте осторожны с файлами, полученными по электронной почте от неизвестных людей, особенно если они просят сделать что-то такое, что вы обычно не делаете.
  3. Убедитесь, что вы заказываете товары из оригинального магазина источника. Для этого нужно не переходить по ссылкам из электронных писем, а вместо этого найти нужного вам продавца в Google и открыть ссылку на странице результатов Google.
  4. Остерегайтесь «специальных» предложений. Предложение купить лекарство от коронавируса за 150 долларов обычно не заслуживает доверия.
  5. Убедитесь, что вы используете индивидуальный пароль для каждой учетной записи.

 

 

 

Похожие записи