Ηλεκτρονικό ψάρεμα μέσω του Google Looker Studio

Μια αναπτυσσόμενη επίθεση που περιλαμβάνει το Google Looker Studio κάνει τον γύρο του κόσμου. Τις τελευταίες εβδομάδες, έχουμε δει πάνω από εκατό από αυτές τις επιθέσεις.

Το Google Looker Studio είναι ένα εργαλείο που μετατρέπει πληροφορίες – παρουσιάσεις διαφανειών, υπολογιστικά φύλλα κ.λπ. – σε οπτικοποιημένα δεδομένα, όπως γραφήματα και γραφήματα.

Οι χάκερ το χρησιμοποιούν για να δημιουργήσουν ψεύτικες σελίδες κρυπτογράφησης που έχουν σχεδιαστεί για να κλέβουν χρήματα και διαπιστευτήρια.

Είναι ένας άλλος τρόπος, με τον οποίο οι χάκερ χρησιμοποιούν νόμιμες υπηρεσίες για αυτό που ονομάζουμε επιθέσεις BEC 3.0.

Ακολούθως, οι ερευνητές του Check Point Harmony email θα συζητήσουν πώς οι χάκερ χρησιμοποιούν την κοινωνική μηχανική με ένα domain Google, σχεδιασμένο να προκαλεί την απάντηση του χρήστη και να παραδίδει διαπιστευτήρια σε ιστότοπους κρυπτογράφησης.

Η Επίθεση

Σε αυτήν την επίθεση, οι χάκερ χρησιμοποιούν το Google Looker Studio για να φιλοξενήσουν ιστότοπους κρυπτογράφησης συγκομιδής διαπιστευτηρίων.

  • Vector: Ηλεκτρονικό ταχυδρομείο
  • Τύπος: BEC 3.0
  • Τεχνικές: Κοινωνική Μηχανική, Συγκομιδή Διαπιστευτηρίων
  • Στόχος: Οποιοσδήποτε τελικός χρήστης
picture1

Παράδειγμα ηλεκτρονικού ταχυδρομείου

Αυτή η επίθεση ξεκινά με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που προέρχεται απευθείας από την Google, σε αυτήν την περίπτωση το Google Looker Studio.

Οι χάκερ έχουν δημιουργήσει μια αναφορά στο Looker Studio. Το μήνυμα ηλεκτρονικού ταχυδρομείου έχει έναν σύνδεσμο προς την αναφορά, λέγοντας ότι ακολουθώντας αυτές τις επενδυτικές στρατηγικές, χρήστες έχουν δει καλή απόδοση. Για να αποκτήσετε πρόσβαση στο λογαριασμό σας, απλά κάντε κλικ εδώ.

Όταν κάνετε κλικ, θα ανακατευθυνθείτε σε αυτήν τη σελίδα. Και πάλι, είναι μια νόμιμη σελίδα Google Looker.

picture2

Εδώ, οι χάκερ φιλοξένησαν ένα Google Slideshow, λέγοντας πώς μπορείτε να διεκδικήσετε περισσότερα Bitcoin.

Από εκεί, μεταβαίνει  σε μια σελίδα σύνδεσης που έχει σχεδιαστεί για να κλέβει τα διαπιστευτήριά σας.

Αλλά πρώτα, το καθιστούν ακόμα πιο επείγον.

picture3

Για να αποθηκεύσετε τον λογαριασμό σας, πρέπει να συνδεθείτε αμέσως.

4

Στη συνέχεια, φυσικά, κλέβουν τα διαπιστευτήριά σας

Τεχνικές

Στο backend, μπορείτε να δείτε τις υπογραφές που χρησιμοποιεί η Google για να νομιμοποιήσει αυτήν τη σελίδα.

picture5

Ας το αναλύσουμε λίγο. Το Sender Policy Framework ή SPF είναι μια μέθοδος ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου που έχει σχεδιαστεί για να αποτρέπει την πλαστογράφηση ηλεκτρονικού ταχυδρομείου, καθορίζοντας ποιες διευθύνσεις IP ή διακομιστές είναι εξουσιοδοτημένοι να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου για έναν συγκεκριμένο τομέα.

Σε αυτήν την περίπτωση, ο έλεγχος SPF έχει περάσει (spf = ) επειδή η διεύθυνση IP του αποστολέα (209.85.160.70) αναφέρεται ως εξουσιοδοτημένος αποστολέας για αυτόν τον τομέα: data-studio.bounces.google.com

Στη συνέχεια, υπάρχει το DomainKeys Identified ή DKIM. Είναι ένα άλλο εργαλείο ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου που χρησιμοποιεί κρυπτογραφικές υπογραφές για να επαληθεύσει ότι το περιεχόμενο του email δεν έχει τροποποιηθεί κατά τη και ότι προέρχεται στην πραγματικότητα από τον τομέα που λέει ότι κάνει. Σε αυτήν την περίπτωση, η υπογραφή DKIM έχει περάσει (dkim=pass) και επαληθεύτηκε για το domain google.com

Ακολουθεί ο έλεγχος ταυτότητας, η αναφορά και η συμμόρφωση μηνυμάτων βάσει τομέα ή . Το DMARC είναι ένα πλαίσιο πολιτικής που βασίζεται τόσο στο SPF όσο και στο DKIM για την περαιτέρω βελτίωση του ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου. Επιτρέπει στους κατόχους domain να καθορίσουν ποιες ενέργειες πρέπει να ληφθούν για τυχόν μηνύματα ηλεκτρονικού ταχυδρομείου που αποτυγχάνουν SPF ή DKIM. Στη συγκεκριμένη περίπτωση, ο έλεγχος DMARC έχει περάσει (dmarc=pass) για τον τομέα google.com και δεν επιβάλλεται καμία ενέργεια. Αυτό σημαίνει ότι δεν λαμβάνονται συγκεκριμένα μέτρα για αποτυχημένα μηνύματα ηλεκτρονικού ταχυδρομείου.

Αυτός είναι – μπορούμε να πούμε – ο τρόπος που οι χάκερ αξιοποιούν την εξουσία της Google. Μια υπηρεσία ασφάλειας ηλεκτρονικού ταχυδρομείου θα εξετάσει όλους αυτούς τους παράγοντες και θα είναι σχεδόν σίγουρη ότι δεν πρόκειται για μήνυμα ηλεκτρονικού “ψαρέματος” και ότι προέρχεται από την Google. Επειδή η επίθεση έχει τόσο βαθιά θεμέλια, όλοι οι τυπικοί έλεγχοι θα περάσουν με άνεση.

Τώρα, αυτό απαιτεί συνεργασία από την πλευρά του χρήστη, να περάσει από όλους τους συνδέσμους και να εισαγάγει τις απαιτούμενες πληροφορίες. Δεν θα το κάνουν όλοι οι χρήστες. Αλλά όπως λέμε συχνά, χρειάζεται μόνο μια επιτυχημένη επίθεση.

Οι ερευνητές της Check Point επικοινώνησαν με την Google για να τους ενημερώσουν για αυτήν την καμπάνια στις 22 Αυγούστου.

Βέλτιστες πρακτικές: καθοδήγηση και συστάσεις

Για να προστατευτούν από αυτές τις επιθέσεις, οι επαγγελματίες ασφαλείας μπορούν να κάνουν τα εξής:

  • Υιοθετήστε τεχνολογία AI ικανή να αναλύει και να εντοπίζει πολυάριθμους δείκτες ηλεκτρονικού ψαρέματος (phishing) για να αποτρέψετε προληπτικά πολύπλοκες επιθέσεις.
  • Υιοθετήστε μια ολοκληρωμένη λύση ασφάλειας που περιλαμβάνει δυνατότητες σάρωσης εγγράφων και αρχείων
  • Αναπτύξτε ένα ισχυρό σύστημα προστασίας διευθύνσεων URL που πραγματοποιεί διεξοδικές σαρώσεις και εξομοιώνει ιστοσελίδες για βελτιωμένη ασφάλεια

Fuchs, ερευνητής/αναλυτής ασφάλειας στον κυβερνοχώρο στην Check Point Software

Get the best viral stories straight into your inbox!















guest

Written by guest

Guest Post: Είδα ανοιχτά και μπήκα!

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).