谷歌表单上的美国运通网络钓鱼表单 来源:Armorblox使用Google的Firebase服务创建的网络钓鱼表单 来源:Armorblox谷歌网站钓鱼登录页面 来源:Armorblox
威胁参与者正在滥用谷歌的免费生产力工具和服务来创建令人信服的网络钓鱼活动,窃取您的证书或诱骗您安装恶意软件。
谷歌提供了大量的免费软件和服务,允许用户创建文档、电子表格、在线表单和免费网站。学生、教师、消费者和企业都可以使用这些工具来轻松地共享文档、进行调查,甚至免费创建站点。
不幸的是,如果一项服务对我们来说是免费的,那么威胁行为体也可以在他们认为合适的时候滥用它们。
威胁参与者免费滥用谷歌服务
在电子邮件安全公司Armorblox的一份新报告中,研究人员展示了威胁参与者是如何利用谷歌的服务创建精心策划的网络钓鱼活动的,这些活动不仅看起来令人信服,而且还可以逃避检测。
我们将看到的第一个Google工具是名为googleforms的免费表单创建服务,它允许任何人创建免费的在线调查,然后发送给其他用户。
不过,威胁参与者正在滥用谷歌表单来创建精心设计的表单,试图窃取您的证书,如下面的假冒美国运通账户恢复表。然后威胁参与者可以在以后收集任何提交的信息。
googlefirebase是一个开发平台,用于创建托管在云端的移动和web应用程序。
威胁参与者正在使用Firebase创建网络钓鱼登录页面,其中可以包括图像、动态内容和流程表单。因为Firebase页面使用https://firebastorage.googleapis.com网址,Armorblox声明他们不会“由于其固有的合法性而被任何安全过滤器阻止”
Google提供了一个名为Google Sites的免费web托管平台,允许用户创建由sites.google.com网站域。
在Armorblox分享的一个例子中,我们可以看到一个Google站点页面,该页面托管一个伪造的微软登录表单来窃取用户的微软账户凭证。
最后,在网络钓鱼诈骗中最常见的Google服务是googledocs。这项服务不仅用于将接收者重定向到凭证盗窃和会计欺诈,而且还用于传递恶意软件。
由于googledocs被大量使用,几乎所有新文档都会绕过安全的电子邮件网关,直到被识别为恶意文档。
“由于谷歌文档已经出现在我们的日常生活中,普通收件人看到同事发来的电子邮件中有谷歌文档链接,不会感到惊讶。它也不会被任何电子邮件安全过滤器阻止-无论如何,不会在第0天。在这封邮件中使用谷歌文档是为了欺骗收件人的眼睛测试和传统的安全层。
googledocs在BazarLoader恶意软件活动中也被大量使用,作为下载伪装成发票、COVID-19信息和其他类型文档的中间页面。
虽然这份报告关注的是谷歌服务的滥用,但威胁参与者还利用其他公司的免费服务,包括Dropbox、Canva和Azure。
为了保护自己免受类似的网络钓鱼诈骗,建议您:
- 遵循2FA和密码管理最佳实践
- 对敏感邮件进行严格的眼睛检查,尤其是与钱有关的邮件。
- 创建您自己的身份验证行
- 使用附加控件增强本机电子邮件威胁检测
- 即使您遵循了所有这些建议,也必须将所有带有链接和附件的电子邮件视为可疑邮件。
- 不要简单地单击链接或打开附件,而是先扫描它们,如果不确定,请与网络管理员联系。打电话给发件人确认他们是否发送了电子邮件也是一件好事。
- 只要确保不要使用电子邮件中列出的电话号码,因为它可能是威胁参与者的号码。
【参考来源:bleepingcomputer】
热门跟贴