Исследователи из Check Point предупреждают о активно растущей тенденции: хакеры маскируют фишинговые атаки на Google Cloud Platform (GCP). Используя расширенные функции в известной облачной службе для хранения документов, хакеры могут лучше маскировать свои атаки и не попадать под традиционные «красные флажки» фишинга, которые традиционно ищут люди –– например, такие как подозрительно выглядящие домены или веб-сайты без сертификата HTTPS.
Хакер использует расширенные функции облачных платформ для проведения фишинговой атаки
В этом году исследователи Check Point столкнулись с атакой, которая начиналась с того, что злоумышленники загружали на Google Drive PDF-документ, который содержал ссылку на фишинговую страницу. На фишинговой странице, размещенной на storage.googleapis [.] Com / asharepoint-unwearied-439052791 / index.html, пользователю предлагалось войти в систему с помощью Office 365 или корпоративной электронной почты. Когда пользователь выбирал один из вариантов, появлялось всплывающее окно со страницей входа в Outlook. После ввода учетных данных пользователь получал отчет в формате PDF, опубликованный известной международной консалтинговой фирмой. На протяжении всего времени пользователь даже не испытывал подозрений: фишинговая страница размещалась в облачном хранилище Google.
Однако просмотр исходного кода фишинговой страницы показал, что большинство ресурсов загружаются с веб-сайта, принадлежащего злоумышленникам, prvtsmtp [.] com. Злоумышленники используют сервис Google Cloud Functions, который позволяет запускать код в облаке. Ресурсы на фишинговой странице были загружены из экземпляра Google Cloud Functions без раскрытия собственных вредоносных доменов злоумышленников. Многие другие домены, связанные с этой фишинг-атакой, были привязаны к одному и тому же IP-адресу или к разным в одном и том же сетевом блоке.
Рисунок 1: Фишинговая страница, предлагающая пользователя войти в систему с учетными данными Office 365
Рисунок 2: Отчет в формате PDF, опубликованный известной международной консалтинговой фирмой
Рисунок 3: Вредоносный код фишинговой страницы
«Хакеров привлекают облачные сервисы для хранения данных, которые мы часто используем и которым мы доверяем — а это значительно затрудняет выявление фишинг-атак. Традиционные «красные флаги» фишинговых атак, например, такие как похожие домены или веб-сайты без сертификатов, уже не сильно нам помогут, — рассказывает Лотем Финкельстин, ведущий эксперт по анализу угроз Check Point. — Пользователи облачной платформы Google, даже пользователи AWS и Azure, должны очень внимательно относиться к этой тенденции. Защита начинается с того, что пользователи очень внимательно и осторожно относятся ко всем полученным файлам».
Как оставаться в безопасности:
- Проверяйте названия доменов, орфографических ошибок в электронных письмах или на веб-сайтах, незнакомых отправителей электронной почты.
- Будьте осторожны с файлами, полученными по электронной почте от неизвестных людей, особенно если они просят сделать что-то такое, что вы обычно не делаете.
- Убедитесь, что вы заказываете товары из оригинального магазина источника. Для этого нужно не переходить по ссылкам из электронных писем, а вместо этого найти нужного вам продавца в Google и открыть ссылку на странице результатов Google.
- Остерегайтесь «специальных» предложений. Предложение купить лекарство от коронавируса за 150 долларов обычно не заслуживает доверия.
- Убедитесь, что вы используете индивидуальный пароль для каждой учетной записи.