SophosLabs, siber suçluların Google Formlar'ı nasıl kullandığını ortaya koyuyor. Kimlik avı ve kötü amaçlı yazılım, genellikle fidye yazılımlarının veya veri hırsızlığının önünü açar. SophosLabs tarafından yapılan son analiz, dolandırıcıların Google Formları amaçları doğrultusunda nasıl kullandıklarını gösteriyor.
Sophos, Google Formlarının siber suçlular tarafından kötüye kullanılmasını ele alan "Kimlik Avı ve Kötü Amaçlı Yazılım Aktörleri Kimlik Bilgileri için Google Formlarını Kötüye Kullanıyor, Veri Sızdırma" başlıklı yeni bir analiz raporu yayınladı.
Google Formlar, siber suçluların işini kolaylaştırır
Sophos'ta kıdemli tehdit araştırmacısı Sean Gallagher, "Saldırganların Google Formlar'dan ne ölçüde yararlandığı, kötü amaçlı yazılımların etkinlikleri ve iletişimleri gizlemek için şifrelemeyi nasıl kötüye kullandığını araştırdığımızda ortaya çıktı" dedi. "Google Formlar, siber suçluların işini özellikle kolaylaştırıyor: formların uygulanması kolay ve hem kuruluş hem de tüketiciler için güvenilir. Hizmete gelen ve hizmetten gelen veri akışı, Aktarım Katmanı Güvenliği (TLS) şifrelemesi ile korunur ve savunucuların denetlemesini zorlaştırır. Dolayısıyla tüm kurulum, esasen bir serbest saldırı altyapısı içeriyor.”
Analizler, Google Formlar'ın en yaygın kötüye kullanımının nispeten az beceri gerektiren kimlik avı ve dolandırıcılık alanlarında olduğunu gösteriyor. Ancak, saldırganların platformu daha karmaşık saldırılar için kullandığına dair artan işaretler var. Örneklerde suçlular, veri hırsızlığı ve kötü amaçlı yazılım komuta ve kontrolü için Google Formlar'ı kullandı.
Google Formlar'ın yedi tür suç amaçlı kullanımı
1. Kimlik avı:
Google, kullanıcıları her Form sayfasında şifre ayrıntılarını ifşa etmemeleri konusunda uyarır. Yine de Sophos uzmanları, saldırganların potansiyel kurbanlara kişisel erişim verilerini sahte bir Google formuna girmeye ikna etmeye çalıştığı çeşitli örnekler buldu. Bunlar genellikle kötü amaçlı spam kampanyalarıyla bağlantılıdır.
2. Kötü Amaçlı Spam Kampanyaları
Spam'deki bu kimlik avı bağlantılarının en büyük kaynaklarından biri, aldatıcı pazarlama e-postalarındaki "abonelikten çıkma" bağlantılarıydı. Sophos, Office365 de dahil olmak üzere Microsoft çevrimiçi hesaplarını hedef alan bu kimlik avı kampanyalarının birçoğunu yakaladı. İstenmeyen e-postalar, alıcının e-posta hesaplarını hemen doğrulamazlarsa kapatılacağını belirtiyordu. Microsoft grafikleriyle sahte bir bağlantı gönderildi, ancak bunun gerçek bir Google formu olmadığı açıkça görülüyor.
3. Ödeme kartlarının çalınması
Başlangıç düzeyindeki dolandırıcılar, sahte ve görünüşte güvenli e-ticaret sitelerini kullanarak kart ödeme verilerini çalmak için önceden oluşturulmuş Google Formlar tasarım şablonlarını kullanmayı sever.
4. Reklam yazılımı gibi PUA'lar (Potansiyel Olarak İstenmeyen Uygulamalar)
Özellikle Windows kullanıcıları genellikle etkilenir. Bu uygulamalar, web istekleri toplanırken ve otomatik olarak formlara yönlendirilirken Google Formlar sayfalarını gizlice kullanır - hiçbir kullanıcı etkileşimi gerekmez.
5. Kötü amaçlı Android uygulamaları için sahte kullanıcı arayüzü
Sophos, herhangi bir arka uç web sitesini kodlamak zorunda kalmadan veri toplamak için Google Formlar'ı kullanan bazı kötü amaçlı Android uygulamaları keşfetti. Bu uygulamaların çoğu, geliştiriciler için reklam dolandırıcılığı yoluyla gelir sağlayan ve incelemeler için bir Google form sayfası içeren bir video uygulaması olan SnapTube dahil olmak üzere reklam yazılımı veya PUA'lardı.
6. Veri Silme
Analistler, Google Formlar'dan yararlanan çok daha karmaşık tehditler ortaya çıkardı. Buna, örneğin çalınan bilgisayar verilerini bir Google e-tablosuna "itmek" için Google Formlar'a yönelik web isteklerini kullanan kötü amaçlı Windows uygulamaları dahildir.
7. Daha büyük bir kötü amaçlı siber saldırı altyapısının parçası
Sophos, Google Formlar ile etkileşime giren bir dizi PowerShell betiği keşfetti. Uzmanlar daha sonra bir PowerShell betiğinin bir PC'den Windows profil verilerini toplamak ve bunu otomatik olarak bir Google formuna eklemek için nasıl kullanılabileceğini yeniden oluşturabildiler.
doc.google.com'a körü körüne güvenmeyin
Sean Gallagher ayrıca, "Google, Google Formlar da dahil olmak üzere uygulamaların kitlesel olarak kötüye kullanılmasıyla ilgili hesapları sık sık kapatıyor. Ancak, Google Formlar'ın kötü amaçlı yazılımlar tarafından daha nadir ancak hedefli bir şekilde kullanılması fark edilmeyebilir. Bu nedenle kullanıcılar, Google Formlar'a veya görünüşte meşru olan diğer izin paylaşım bağlantılarına bağlantılar gördüklerinde dikkatli olmalı ve doc.google.com gibi görünüşte bilinen etki alanlarına giden TLS trafiğine körü körüne güvenmemelidir."
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.