Мошенничество с использованием Google Docs

Фишинг — далеко не самая новая технология. Наоборот, такое ощущение, что она существовала всегда. Это показатель того, что она очень эффективна: казалось бы, вряд ли человек будет сообщать данные своего банковского счета просто потому, что его об этом спрашивают – и тем не менее, находятся такие, кто продолжает попадаться на удочку киберпреступников, использующих один из простейших методов мошенничества.

Однако осведомлённость пользователей и инструменты борьбы с фишингом усложняют задачу киберпреступников, которые пытаются заполучить наши денежки. Мы наблюдаем эти изменения в уменьшении количества спама. И это не единственная причина: для общения напрямую пользователи переходят на новые платформы, например, используют социальные сети

Сегодня я хотел бы продемонстрировать вам пример креативного способа обходить спам- и фишинговые фильтры.

Я уже рассказывал ранее о том, как киберпреступники используют существующие онлайн-сервисы для того чтобы снизить свои затраты и избежать детектирования. Сегодня я приведу пример того, как они используют для фишинга Google Docs.

Процедура стандартная: посылается электронное сообщение с вредоносной ссылкой. Однако ни один антифишинговый фильтр не принял бы сервис Google Docs за вредоносный:

Сообщение написано на плохом испанском языке. Перейдя по ссылке, попадаем на документ, размещенный на Google Docs (на сервере Google):

где жертву просят ввести имя пользователя, адрес электронной почты, пароль (дважды) и дату последнего входа. Цель киберпреступников не очень ясна, но, похоже, они делают все это с целью завладеть персональными данными для доступа к электронной почте.

Как я сказал, этот документ Doc создан и размещен на Google Docs. И если кто-то введет свои данные, они будут отправлены владельцу Doc.

Однако это только верхушка айсберга. Google Docs позволяет размещать и другой контент, например, исполняемые файлы различных форматов, что делает его очень удобным бесплатным хостинговым сервисом для вредоносного контента. В качестве бонуса – HTTPS-соединение по умолчанию, что в результате делает этот сервис еще более удобным для использования киберпреступниками.

Вы можете заметить, что Google предлагает опцию сообщить о вредоносном контенте, – что я и сделал.

Я полагал, что это метод на самом деле не сильно распространен. Он показывает, как можно обойти защитные системы, нелегально используя легитимные сервисы. Самое важное для киберпреступников – делать это незаметно и избегать детектирования, поэтому данный метод кажется более опасным для целевых атак.

Однако проверив данные, собранные коллегами, я понял, что уже не так уверен в своем предположении. Этот способ оказался намного более распространенным, чем я полагал ранее, поскольку он очень эффективен для обхода защитных средств, а с точки зрения жертвы выглядит как легитимный контент.

P.S.: Спасибо моим коллегам Fabio и Michael за помощь в создании этого поста!