Атакуващите подменят покани за участие в календара на Google в бързо разпространяваща се фишинг кампания, която може да заобиколи защитите на имейлите и има за цел да открадне идентификационни данни, а накрая да измами потребителите с цел финансова печалба.
Кампанията, открита от изследователи в Check Point Software, разчита на модифицирани заглавия „изпращач“, за да накара имейлите да изглеждат така, сякаш са изпратени чрез Google Calendar от името на легитимна организация, като например доверена марка или физическо лице, разкриват те в публикация в блога, публикувана на 17 декември.
Първоначално съобщенията са включвали злонамерени Google Calendar .ics файлове, които биха довели до фишинг атака, пишат ловците на заплахи. Въпреки това, „след като забелязали, че продуктите за сигурност могат да маркират злонамерените покани за Календар“, нападателите започнали да подреждат тези файлове с връзки към Google Drawings и Google Forms, за да прикрият по-добре дейността си.
Като се има предвид, че Календарът на Google се използва от повече от 500 милиона души и е достъпен на 41 различни езика, кампанията осигурява масивна повърхност за атака, така че „не е чудно, че се е превърнала в цел за киберпрестъпниците“, които се стремят да компрометират онлайн акаунти с цел финансова печалба, отбелязва екипът.
„След като дадено лице неволно разкрие чувствителни данни, подробностите след това се прилагат към финансови измами, при които киберпрестъпниците могат да се занимават с измами с кредитни карти, неоторизирани транзакции или подобни, незаконни дейности“, пишат изследователите в публикацията. Откраднатите данни могат да се използват и за заобикаляне на мерките за сигурност на други акаунти на жертвите, което да доведе до по-нататъшно компрометиране, добавят те.
Нападателите също така се движат бързо с кампанията, като изследователите са наблюдавали повече от 4000 свързани с нея имейла за период от четири седмици. В тези съобщения нападателите са използвали препратки към около 300 марки в своите фалшиви покани, за да ги накарат да изглеждат автентични, пишат те.
Съобщението, свързано с кампанията, изглежда като типична покана от Google Calendar, в която някой познат или доверен на лицето, към което е насочена кампанията, споделя с него покана за календара. Външният вид на съобщенията е различен, като някои от тях наистина изглеждат почти идентични с типичните известия от Google Calendar, „докато други използват персонализиран формат“, пише екипът.
Както беше отбелязано по-рано, имейлите включват връзка към календара или файл (.ics), който включва връзка към Google Forms или Google Drawings, в опит да се заобиколят инструментите за сканиране на имейли. След като потребителят се хване на стръвта, от него се иска да кликне върху друга връзка, „която често е маскирана като фалшива reCAPTCHA или бутон за поддръжка“, която го препраща към страница, „която изглежда като целева страница за добив на криптовалута или страница за поддръжка на биткойни“, според публикацията.
„Тези страници всъщност са предназначени за извършване на финансови измами“, пише екипът. „След като потребителите достигнат до споменатата страница, от тях се изисква да завършат фалшив процес на удостоверяване, да въведат лична информация и в крайна сметка да предоставят данни за плащане.“
Check Point се свърза с Google за кампанията, която препоръча на потребителите на Google Calendar да активират настройката „известни изпращачи“ в приложението, за да се защитят от този вид фишинг. Тази настройка ще предупреди потребителя, когато получи покана от някого, който не е в списъка му с контакти, или от някого, с когото не е взаимодействал от своя имейл адрес в миналото, заявиха от компанията.
Корпоративните защитници могат да използват усъвършенствани решения за защита на електронната поща, които могат да идентифицират и блокират фишинг атаки, манипулиращи доверени платформи, с включването на сканиране на прикачени файлове, проверки на репутацията на URL адреси и откриване на аномалии, управлявано от изкуствен интелект, пише екипът на Check Point.
Организациите също така трябва да наблюдават използването на приложения на Google от трети страни и да използват инструменти за киберсигурност, които могат специално да откриват и предупреждават екипите им по сигурността за подозрителна дейност в приложения на трети страни.
И накрая, два често цитирани съвета за организациите, когато се препоръчва защита от фишинг – използването на многофакторна автентикация (MFA) в бизнес акаунтите и обучението на служителите за сложни фишинг тактики – също могат да работят в случаи като този за укрепване на сигурността.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
