Cybercrooks использует Google Forms для извлечения учетных данных от ничего не подозревающих пользователей Office 365

За исключением нескольких исключений, атака на организацию может быть гораздо более прибыльной, чем атака домашнего пользователя. Коммерческие предприятия могут многое потерять. Они обрабатывают данные компаний и клиентов, которые не хотят видеть скомпрометированными, и по большей части они знают, что взлом их систем может иметь серьезные последствия. В свете этого вы можете подумать, что для успешного взлома бизнес-организации требуется гораздо больше изощренности. Однако недавняя фишинговая кампания, о которой писал Cofense, показывает, что это не всегда так.

Пользователи Office 365, на которых нацелена фишинговая кампания

Эксперты Cofense заявили, что они заметно увеличили количество фишинговых писем, предназначенных для пользователей Office 365, работающих на предприятиях всех форм и размеров. Кампания, которую они исследовали более внимательно, началась с другой атаки.

Мошенникам каким-то образом удалось скомпрометировать учетную запись электронной почты человека, работающего в CIM Finance, компании, предоставляющей финансовые услуги. После первоначальной атаки преступники использовали системы CIM Finance для отправки большого количества фишинговых писем, и тот факт, что сообщения приходили от реальной компании, помог им пройти проверку на спуфинг, такой как DKIM и SPF.

Сами электронные письма якобы поступают от «ИТ-корпорации», которая предупреждает получателя об истечении срока действия учетной записи Office 365. В сообщении говорится, что пользователь должен обновить свой пароль, если он не хочет, чтобы его учетная запись была заблокирована. Как вы уже могли догадаться, кнопка «Обновить сейчас» ведет к странице, которая никак не связана с Office 365.

Вместо этого жертвы видят страницу входа, созданную с помощью Google Forms, которая маскируется под Microsoft и запрашивает у пользователя свои учетные данные. Все, что вводится в поля, отправляется мошенникам с помощью другого бесплатного сервиса, предлагаемого популярным в мире поисковым гигантом - Google Drive.

Грубая атака, которая может быть очень эффективной

Мошенники не приложили много усилий в атаке. Тот факт, что они начинают с компрометации учетной записи в законной компании, может обмануть вас, заставляя думать, что они знают, что делают, но в целом, они не показали уровень сложности, которого вы могли ожидать от группы преступников. пытаясь атаковать бизнес-пользователей.

Например, используя Google Forms, чтобы собрать фишинговую страницу, мошенникам, вероятно, удалось сэкономить несколько долларов, но это не помогло сделать мошенничество более легитимным. Действительно, страница, обслуживаемая службой Google, будет отображать зеленый значок блокировки в адресной строке, что может просто одурачить некоторых людей. С другой стороны, менее ленивые фишеры в любом случае устанавливают SSL-сертификаты на тщательно разработанные фишинговые комплекты, так что это не является большим преимуществом.

Ложная форма входа в систему была описана исследователями Cofense как «некачественная», что неудивительно, учитывая ограничения, введенные в Google Forms. Эксперты говорят, что макет далеко не убедителен, и что некоторые ошибки форматирования и использования заглавных букв быстро убирают аферу. Тот факт, что когда пользователь вводит свой пароль в поле, он появляется в виде обычного текста, обязательно вызовет немало тревожных звонков. Или это будет?

Без тени сомнения, это далеко не самая изощренная фишинговая атака, но сам факт ее существования показывает, что мошенники делают ставку на ее успех. Любая фишинговая кампания основана на неспособности людей обнаружить иногда очевидные признаки мошенничества, а терабайты терабайтов украденных имен пользователей и паролей, которые продаются на подпольных рынках каждый день, показывают, что это происходит чаще, чем следовало бы. Ни одна атака, независимо от того, насколько плохо она выглядит, не должна быть недооценена.