Cyberprzestępcy wykorzystują formularze Google, aby wyodrębnić dane logowania od niczego niepodejrzewających użytkowników Office 365

Z wyjątkiem kilku wyjątków atakowanie organizacji może być znacznie bardziej opłacalne niż atakowanie użytkownika domowego. Przedsiębiorstwa mają dużo więcej do stracenia. Przetwarzają dane firmowe i klientów, których nie chcą narażać na szwank, i w większości wiedzą, że włamanie do ich systemów może mieć poważne konsekwencje. W związku z tym możesz pomyśleć, że skuteczne zhakowanie organizacji biznesowej wymaga o wiele bardziej wyrafinowania. Jednak ostatnia kampania phishingowa, o której pisał Cofense, pokazuje, że nie zawsze tak jest.

Użytkownicy Office 365 będący celem kampanii phishingowej

Eksperci Cofense powiedzieli, że zauważyli znaczny wzrost liczby wiadomości phishingowych skierowanych do użytkowników Office 365 pracujących dla firm o różnych kształtach i rozmiarach. Kampania, którą zbadali dokładniej, rozpoczęła się od kolejnego ataku.

Oszuściom udało się w jakiś sposób skompromitować konto e-mail osoby pracującej dla CIM Finance, firmy świadczącej usługi finansowe. Po pierwszym ataku przestępcy używali systemów CIM Finance do wysyłania dużej liczby wiadomości phishingowych, a fakt, że wiadomości przychodziły od prawdziwej firmy, pomógł im przejść kontrole anty-fałszujące, takie jak DKIM i SPF.

Same wiadomości e-mail rzekomo pochodzą od „zespołu IT firmy”, który ostrzega odbiorcę o wygaśnięciu konta Office 365. Komunikat mówi, że użytkownik musi zaktualizować swoje hasło, jeśli nie chce, aby jego konto zostało zawieszone. Jak można się już domyślić, przycisk „Aktualizuj teraz” prowadzi do strony, która nie jest w żaden sposób połączona z Office 365.

Zamiast tego ofiary widzą stronę logowania utworzoną za pomocą Formularzy Google, która podszywa się pod własność Microsoft i prosi użytkownika o podanie poświadczeń. Wszystko, co trafia na pola, jest wysyłane do oszustów za pomocą innej bezpłatnej usługi oferowanej przez ulubionego giganta wyszukiwarek na świecie - Google Drive.

Surowy atak, który może być bardzo skuteczny

Oszuści nie włożyli wiele wysiłku w atak. Fakt, że zaczynają od włamania się na konto w legalnej firmie, może oszukać cię do myślenia, że wiedzą, co robią, ale ogólnie nie wykazali poziomu wyrafinowania, jakiego można oczekiwać od grupy przestępców próba ataku na użytkowników biznesowych.

Na przykład za pomocą Formularzy Google do utworzenia strony phishingowej oszustom prawdopodobnie udało się zaoszczędzić kilka dolarów, ale nie zrobiło to nic, aby oszustwo wyglądało bardziej uzasadnione. Rzeczywiście, strona obsługiwana przez usługę Google wyświetli zieloną ikonę kłódki na pasku adresu, co może po prostu oszukać niektórych ludzi. Z drugiej strony mniej leniwi phisherzy i tak instalują certyfikaty SSL na swoich starannie spreparowanych zestawach phishingowych, więc nie jest to duża zaleta.

Fałszywy formularz logowania został opisany przez badaczy Cofense jako „niespełniający norm”, co nie jest zaskoczeniem, biorąc pod uwagę ograniczenia, jakie ma Google Forms. Eksperci stwierdzili, że układ jest daleki od przekonania, a niektóre błędy formatowania i wielkich liter szybko usuwają oszustwo. Fakt, że gdy użytkownik wpisze swoje hasło w polu, pojawia się jako zwykły tekst, z pewnością wywoła również sporo dzwonków alarmowych. Czy to będzie?

Bez wątpienia jest to dalekie od najbardziej wyrafinowanego ataku phishingowego, ale sam fakt, że istnieje, pokazuje, że oszuści stawiają na jego sukces. Każda kampania phishingowa polega na tym, że ludzie nie zauważają czasem oczywistych oznak oszustwa, a terabajty na terabajtach skradzionych nazw użytkowników i haseł, które są przedmiotem handlu na podziemnych rynkach każdego dnia, pokazują, że zdarza się to częściej niż powinno. Nie należy lekceważyć żadnego ataku, bez względu na to, jak źle wykonany mógłby wyglądać.