Фишинг при помощи Google Apps Script

Эти редиректы не дают заблокировать фишинговую ссылку на почтовом сервере

Чтобы выманить у сотрудников учетные данные от корпоративной почты, злоумышленникам сперва нужно обмануть антифишинговые решения на почтовых серверах. Для этого они используют легитимные веб-сервисы: те имеют репутацию, не вызывающую подозрений у почтовых фильтров. В последнее время в качестве одного из таких сервисов мошенники часто используют Google Apps Script.

Что такое Apps Script и как его используют злоумышленники

Apps Script — скриптовая платформа Google на базе Java Script, служащая для автоматизации задач и в продуктах компании (например, аддонов для Google Docs), и в сторонних приложениях. Сервис, позволяет создавать скрипты и исполнять их в инфраструктуре Google.

В почтовом фишинге этот сервис используют для редиректа. Вместо того, чтобы вставлять непосредственно URL вредоносного сайта, мошенники зашивают в текст ссылку на скрипт и решают этим сразу несколько задач:

1. Для антифишингового решения на почтовом сервере письмо выглядит как нормальное послание с гиперссылкой на легитимный сайт Google с нормальной репутацией.
2. Эксплуатировать фишинговый сайт так можно дольше, ведь его URL не светится в письмах и не виден большей части защитных решений.
3. Схема гибкая — скрипт можно менять, если защитное решение забанит сайт, можно экспериментировать с доставкой контента, послать жертву на разные языковые варианты сайта в зависимости от региона.

Пример использования уловки с Google Apps Script

Злоумышленникам главное заставить пользователя кликнуть по ссылке. В последнее время участился метод «переполненного почтового ящика». В теории выглядит логично — место, отведенное под почту, закончилось, и нужно либо удалять старые письма, либо запрашивать расширение квоты.

Типичное фишинговое письмо, использующее уловку с переполненным ящиком

На практике мошенники действуют небрежно и оставляют улики, которые легко можно заметить даже невооруженным взглядом:

• Письмо пришло вроде от Microsoft Outlook, но адрес отправителя имеет посторонний домен. В легитимном письме так не бывает: уведомление приходит от сервера exchange, работающего в инфраструктуре вашей компании. Плюс, если приглядеться, то заметно, что имя отправителя Microsoft Outlook написано без пробела и с символом 0 вместо буквы O.

Самое главное: если подвести мышку к ссылке Fix this in storage settings, то вы увидите реальный адрес:Ссылка на Google Apps Script в письмеЛегитимных причин, почему из нотификации от почтового клиента Microsoft нужно переходить на сайт Google — нет. Да и вообще из какого бы то ни было письма. Единственная причина — попытка фишинга.

В глаза бросается красная шкала — ваш почтовый ящик внезапно превысил лимит на 850 мегабайт. Так не бывает – Outlook начинает предупреждать о том, что место заканчивается, задолго до достижения лимита. То есть чтобы внезапно превысить его настолько, нужно получить примерно гигабайт спама. Это крайне маловероятно. На всякий случай — легитимная нотификация Outlook выглядит вот так:Легитимная нотификация о скором переполнении почтового ящика

• Если вы все-таки ткнули на Fix this in storage settings, скрипт направит вас на фишинговый сайт. В данном случае он является убедительной копией страницы логина от веб-интерфейса Outlook. Однако следует обратить внимание на адресную строку браузера — хостится она не в инфраструктуре жертвы, а, как обычно, на «левом» сайте.

Как не попасться на крючок

Как показывает практика, злоумышленники могут прислать фишинговое письмо, в котором не будет как таковой фишинговой ссылки. Для защиты от мошенников необходимо иметь антифишинговое решение и на уровне почтового сервера, и на компьютерах пользователей.

Защитное решение можно скачать здесь.

Имеет смысл поддерживать уровень осведомленности сотрудников о современных киберугрозах и фишинговых уловках при помощи онлайн тренингов.

Оригинал статьи можно прочитать на блоге.