Что ни день, то новая мошенническая схема. Злоумышленники начали отправлять фишинговые ссылки клиентам банков от имени популярного сервиса компании Google.
Впервые о данной проблеме сообщили исследователи из компании Checkpoint в сентябре 2023 года. И вот полгода спустя этот инструмент взяли на вооружение мошенники, работающие по России, что было зафиксировано специалистами компании F.A.C.C.T.
Как работает данная мошенническая схема рассказывает в этой статье Антон Афонин, руководитель отдела анализа сетевого трафика и машинного обучения компании F.A.C.C.T.
Я – это ты, ты – это я
Google Looker Studio — это популярный онлайн-инструмент для преобразования данных в настраиваемые информативные отчеты.
Внешний вид письма, отправленного злоумышленниками, будет как две капли воды похож на то, что мы привыкли видеть в рассылке, сделанной в данном сервисе.
В качестве отправителя письма будет указано имя пользователя, а в качестве почтового адреса отправителя — looker-studio-noreply@google.com. Почту отправителя можно легко подделать, о чем аналитики F.A.C.C.T. уже не раз рассказывали.
Однако мы знаем, что электронная почта имеет механизмы защиты, позволяющие установить подлинность письма. При использовании подобной мошеннической схемы злоумышленникам легко удается их обойти.
При проверке вы сможете убедиться, что письмо действительно было сформировано одним из сервисов компании Google и не было кем-либо подделано.
В чем же подвох?
Выдают злоумышленников тема сообщения про выплаты и онлайн-компенсации и ссылка в тексте данного письма, которая является совсем не безобидной. Она ведет на Google-презентацию, содержащую единственный слайд, являющийся ссылкой на мошеннический ресурс.
Так мы можем попасть на классический мошеннический сайт, где пользователю предлагают воспользоваться услугами одного из популярных банков. Страница банка будет являться фишинговой и создана исключительно для кражи средств с карточек граждан.
Получается, что Google отправляет фишинговые письма пользователям?
Конечно же, никакого злого умысла сотрудники международной IT-корпорации не преследовали. Все дело в лазейке, которая присутствует в одном из ее продуктов, а именно в Google Looker Studio. Она-то и позволяет злоумышленникам отправить письмо с любым содержимым от имени IT-гиганта.
Схема невероятно проста:
- Злоумышленники регистрируют Google-аккаунт и открывают инструмент создания отчетов Looker Studio.
- Затем создают новый пустой отчет и открывают окно предоставления доступа.
- В окне предоставления доступа вводят email-адрес жертвы и снимают галочку об отправке уведомления. Так жертва не узнает о добавлении в какой-либо документ.
- Далее мошенники настраивают отложенную отправку письма: добавляют пользователя, которому только что предоставили доступ, вводят тему письма, сообщение, содержащее фишинговую ссылку, и выбирают желаемую дату отправки.
В результате проделанных манипуляций в почтовом ящике жертвы оказывается письмо, пришедшее от компании Google и содержащее любые потенциально опасные ссылки.
Будьте осторожны!
Опасность данной тактики заключается в том, что вендоры информационной безопасности часто доверяют приложениям и сервисам Google и других крупных и именитых компаний. Благодаря этому злоумышленники могут эксплуатировать вполне легитимные сервисы для рассылки фишинга и скама.
Проявляйте бдительность: даже когда источник письма не вызывает никаких сомнений, всегда помните о том, что мошенники постоянно совершенствуют арсенал инструментов для совершения преступлений.
Именно поэтому никогда не стоит пренебрегать правилами цифровой гигиены.
