SophosLabs розкриває, як кіберзлочинці використовують Google Forms. Фішинг і зловмисне програмне забезпечення часто прокладають шлях до програм-вимагачів або крадіжки даних. Останній аналіз SophosLabs показує, як шахраї використовують Google Forms у своїх цілях.
Компанія Sophos опублікувала новий аналітичний звіт під назвою «Актори фішингу та зловмисного програмного забезпечення зловживають Google Forms для отримання облікових даних, викрадання даних», у якому йдеться про зловживання Google Forms кіберзлочинцями.
Google Forms полегшує роботу кіберзлочинців
«Ступінь, до якого зловмисники використовують Google Forms, став очевидним, коли ми досліджували, як зловмисне програмне забезпечення зловживає шифруванням, щоб маскувати дії та комунікації», — сказав Шон Галлахер, старший дослідник загроз у Sophos. «Форми Google особливо спрощують роботу кіберзлочинців: форми прості в застосуванні та надійні як для організації, так і для споживача. Потік даних до служби та від неї захищено шифруванням безпеки транспортного рівня (TLS), що спрощує перевірку для захисників. Отже, вся установка, по суті, включає безкоштовну інфраструктуру для атак».
Аналіз показує, що найпоширенішим зловживанням Google Forms є фішинг і шахрайство, що вимагає відносно невеликих навичок. Проте з’являється все більше ознак того, що зловмисники використовують платформу для більш складних атак. У прикладах злочинці використовували Google Forms для викрадання даних і управління зловмисним програмним забезпеченням.
Сім типів злочинного використання Google Forms
1. Фішинг:
Google попереджає користувачів на кожній сторінці форм не розголошувати деталі пароля. Тим не менш, експерти Sophos знайшли різні приклади, в яких зловмисники намагалися змусити потенційних жертв ввести свої особисті дані доступу в підроблену форму Google. Вони часто пов’язані зі зловмисними спам-кампаніями.
2. Зловмисні спам-кампанії
Одним із найбільших джерел цих фішингових посилань у спамі були посилання «відписатися» в оманливих маркетингових електронних листах. Компанія Sophos перехопила низку цих фішингових кампаній, націлених на онлайн-акаунти Microsoft, включаючи Office365. У спамі було зазначено, що облікові записи електронної пошти одержувача будуть закриті, якщо вони негайно не підтвердять їх. Фальшиве посилання було надіслано з графікою Microsoft, але це явно не була справжня форма Google.
3. Крадіжка платіжних карток
Шахраї-початківці люблять використовувати готові шаблони дизайну Google Forms, щоб викрасти дані платіжних карток за допомогою підроблених і, здавалося б, безпечних сайтів електронної комерції.
4. PUA (потенційно небажані програми), такі як рекламне ПЗ
Особливо часто страждають користувачі Windows. Ці додатки непомітно використовують сторінки Google Forms, поки веб-запити збираються та автоматично направляються до форм – жодної взаємодії з користувачем не потрібно.
5. Підроблений інтерфейс для шкідливих програм Android
Компанія Sophos виявила кілька шкідливих програм для Android, які використовують Google Forms для збору даних без кодування серверних веб-сайтів. Більшість із цих додатків були рекламним програмним забезпеченням або PUA, зокрема SnapTube, відеопрограма, яка приносить розробникам дохід за допомогою шахрайства з рекламою та містить сторінку форми Google для відгуків.
6. Видалення даних
Аналітики виявили низку ще більш складних загроз, які використовують Google Forms. Це включає, наприклад, шкідливі програми Windows, які використовують веб-запити до Google Forms, щоб «проштовхнути» викрадені комп’ютерні дані в електронну таблицю Google.
7. Частина більшої інфраструктури шкідливих кібератак
Компанія Sophos виявила ряд сценаріїв PowerShell, які взаємодіють із Google Forms. Потім експерти змогли відтворити, як сценарій PowerShell можна використовувати для збору даних профілю Windows з ПК і автоматичного вставлення їх у форму Google.
Не довіряйте сліпо doc.google.com
Шон Галлахер також рекомендує: «Google часто закриває облікові записи, пов’язані з масовим зловживанням додатками, зокрема Google Forms. Однак більш рідкісне, але цілеспрямоване використання Google Forms зловмисним програмним забезпеченням може залишитися непоміченим. Тому користувачі повинні бути уважними, коли бачать посилання на Google Forms або інші, здавалося б, законні посилання для обміну дозволами, і не сліпо довіряти трафіку TLS до, здавалося б, відомих доменів, таких як doc.google.com».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.