WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Dịch vụ Google bị lợi dụng để vượt qua tính năng bảo mật trong các chiến dịch lừa đảo
Những kẻ tấn công đang khai thác một loạt các Dịch vụ của Google, bao gồm Form, Firebase, Docs... để thúc đẩy các chiến dịch lừa đảo.
Theo nghiên cứu từ Armorblox, sự gia tăng đột biến trong các cuộc tấn công lừa đảo trực tuyến và xâm nhập email doanh nghiệp (BEC) gần đây có thể bắt nguồn từ việc tội phạm đang học cách khai thác Dịch vụ của Google. Nghiên cứu chi tiết cách các dịch vụ phổ biến hiện nay như Google Form, Google Docs và các dịch vụ khác bị kẻ xấu lợi dụng để làm cho các nỗ lực giả mạo trở nên “hợp pháp”, đối với cả bộ lọc bảo mật và các nạn nhân.
Báo cáo đưa ra một số ví dụ cụ thể về cách các Dịch vụ của Google trợ giúp những kẻ tấn công.
Google Form
Một chiến dịch đã sử dụng Google Form và logo của American Express để khiến nạn nhân nhập thông tin nhạy cảm.
“Lưu trữ trang lừa đảo trên Google Form giúp email ban đầu tránh được bất kỳ bộ lọc bảo mật chặn các liên kết hoặc miền xấu đã biết. Vì miền của Google vốn đáng tin cậy và các biểu mẫu của Google được sử dụng vì một số lý do chính đáng, nên không bộ lọc bảo mật email nào thực tế sẽ chặn liên kết này.
Một cuộc tấn công khác đã sử dụng bức thư hư cấu của một góa phụ không con đang tìm kiếm người thừa kế tài sản của mình. Liên kết trong email dẫn đến Google Form với trường câu hỏi trống.
“Nhiều người sẽ cảm thấy email đáng ngờ sau khi xem qua nội dung và truy cập vào biểu mẫu giả này. Nhưng một số người sẽ gửi tùy chọn duy nhất được biểu mẫu cho phép hoặc họ sẽ gửi thư trả lời đến địa chỉ được cung cấp trong email. Điều này cho phép những kẻ tấn công chọn ra danh sách người nhận email ngây thơ và nhạy cảm nhất, những người sẽ là mục tiêu hàng đầu cho các email tiếp theo từ góa phụ không con.
Google Firebase, Google Sites và Google Documents
Nền tảng di động của Google Firebase đã được sử dụng trong một kế hoạch khác để lưu trữ một trang lừa đảo, cho phép trang này lách qua các bộ lọc email vì lý do tương tự - vì Firebase được tin cậy.
Trong một vụ lừa đảo gian liên quan đến bảng lương, một liên kết email lừa đảo đã đưa người nhận đến tệp Google Docs để “xác nhận” chi tiết thanh toán của mình.
Và trong một cuộc tấn công khác, một email được gửi đến nạn nhân, từ nhóm IT của họ, yêu cầu xem lại một thông báo an toàn trên Microsoft Teams. Liên kết dẫn đến trang web có cổng đăng nhập Office 365 không có thật được lưu trữ trên Google Sites.
“Ý đồ xấu của trang được che giấu đằng sau tính hợp pháp của miền. Trang này sẽ vượt qua hầu hết các bài kiểm tra, mọi người vui vẻ cho rằng nó là một trang hợp pháp của Microsoft.”
Xu hướng đánh cắp các dịch vụ của Google
Khả năng kẻ xấu tận dụng Dịch vụ của Google cho các hoạt động của mình đang bắt đầu nổi lên như một xu hướng chính thức.
Vào đầu tháng 11, các nhà nghiên cứu đã tìm thấy 265 Google Form mạo danh các thương hiệu như AT&T, Citibank và Capitol One và thậm chí cả các cơ quan chính phủ như Sở Thuế vụ và Chính phủ Mexico được sử dụng trong các cuộc tấn công lừa đảo.
Các biểu mẫu này đã bị Google xóa sau khi các nhà nghiên cứu từ Zimperium báo cáo chúng.
Chỉ vài ngày trước đó, những kẻ lừa đảo đã bị phát hiện đang sử dụng cộng tác hợp pháp của Google Drive để lừa nạn nhân nhấp vào các liên kết độc hại.
Ngay cả Google Calendar cũng đã từng bị lạm dụng trong một cuộc tấn công mạng tinh vi nhắm vào người dùng Gmail trên điện thoại di động thông qua các thông báo cuộc họp gian lận.
Về phần mình, Google nhấn mạnh đang thực hiện mọi biện pháp để ngăn chặn các phần tử độc hại khỏi nền tảng của họ.
Theo nghiên cứu, xác thực hai yếu tố (2FA) và duy trì mật khẩu mạnh bằng trình quản lý mật khẩu là những cách tốt nhất để người dùng tự bảo vệ mình.
Theo nghiên cứu từ Armorblox, sự gia tăng đột biến trong các cuộc tấn công lừa đảo trực tuyến và xâm nhập email doanh nghiệp (BEC) gần đây có thể bắt nguồn từ việc tội phạm đang học cách khai thác Dịch vụ của Google. Nghiên cứu chi tiết cách các dịch vụ phổ biến hiện nay như Google Form, Google Docs và các dịch vụ khác bị kẻ xấu lợi dụng để làm cho các nỗ lực giả mạo trở nên “hợp pháp”, đối với cả bộ lọc bảo mật và các nạn nhân.
Báo cáo đưa ra một số ví dụ cụ thể về cách các Dịch vụ của Google trợ giúp những kẻ tấn công.
Google Form
Một chiến dịch đã sử dụng Google Form và logo của American Express để khiến nạn nhân nhập thông tin nhạy cảm.
“Lưu trữ trang lừa đảo trên Google Form giúp email ban đầu tránh được bất kỳ bộ lọc bảo mật chặn các liên kết hoặc miền xấu đã biết. Vì miền của Google vốn đáng tin cậy và các biểu mẫu của Google được sử dụng vì một số lý do chính đáng, nên không bộ lọc bảo mật email nào thực tế sẽ chặn liên kết này.
Một cuộc tấn công khác đã sử dụng bức thư hư cấu của một góa phụ không con đang tìm kiếm người thừa kế tài sản của mình. Liên kết trong email dẫn đến Google Form với trường câu hỏi trống.
“Nhiều người sẽ cảm thấy email đáng ngờ sau khi xem qua nội dung và truy cập vào biểu mẫu giả này. Nhưng một số người sẽ gửi tùy chọn duy nhất được biểu mẫu cho phép hoặc họ sẽ gửi thư trả lời đến địa chỉ được cung cấp trong email. Điều này cho phép những kẻ tấn công chọn ra danh sách người nhận email ngây thơ và nhạy cảm nhất, những người sẽ là mục tiêu hàng đầu cho các email tiếp theo từ góa phụ không con.
Google Firebase, Google Sites và Google Documents
Nền tảng di động của Google Firebase đã được sử dụng trong một kế hoạch khác để lưu trữ một trang lừa đảo, cho phép trang này lách qua các bộ lọc email vì lý do tương tự - vì Firebase được tin cậy.
Trong một vụ lừa đảo gian liên quan đến bảng lương, một liên kết email lừa đảo đã đưa người nhận đến tệp Google Docs để “xác nhận” chi tiết thanh toán của mình.
Và trong một cuộc tấn công khác, một email được gửi đến nạn nhân, từ nhóm IT của họ, yêu cầu xem lại một thông báo an toàn trên Microsoft Teams. Liên kết dẫn đến trang web có cổng đăng nhập Office 365 không có thật được lưu trữ trên Google Sites.
“Ý đồ xấu của trang được che giấu đằng sau tính hợp pháp của miền. Trang này sẽ vượt qua hầu hết các bài kiểm tra, mọi người vui vẻ cho rằng nó là một trang hợp pháp của Microsoft.”
Xu hướng đánh cắp các dịch vụ của Google
Khả năng kẻ xấu tận dụng Dịch vụ của Google cho các hoạt động của mình đang bắt đầu nổi lên như một xu hướng chính thức.
Vào đầu tháng 11, các nhà nghiên cứu đã tìm thấy 265 Google Form mạo danh các thương hiệu như AT&T, Citibank và Capitol One và thậm chí cả các cơ quan chính phủ như Sở Thuế vụ và Chính phủ Mexico được sử dụng trong các cuộc tấn công lừa đảo.
Các biểu mẫu này đã bị Google xóa sau khi các nhà nghiên cứu từ Zimperium báo cáo chúng.
Chỉ vài ngày trước đó, những kẻ lừa đảo đã bị phát hiện đang sử dụng cộng tác hợp pháp của Google Drive để lừa nạn nhân nhấp vào các liên kết độc hại.
Ngay cả Google Calendar cũng đã từng bị lạm dụng trong một cuộc tấn công mạng tinh vi nhắm vào người dùng Gmail trên điện thoại di động thông qua các thông báo cuộc họp gian lận.
Về phần mình, Google nhấn mạnh đang thực hiện mọi biện pháp để ngăn chặn các phần tử độc hại khỏi nền tảng của họ.
Theo nghiên cứu, xác thực hai yếu tố (2FA) và duy trì mật khẩu mạnh bằng trình quản lý mật khẩu là những cách tốt nhất để người dùng tự bảo vệ mình.
Theo Threatpost