Хакеры усовершенствуют методы фишинга с помощью Google AMP и перенаправлений
В 2024 году специалисты по кибербезопасности отмечают устойчивое использование злоумышленниками возможностей Google AMP (Accelerated Mobile Pages) и различных методов перенаправления для обхода систем защиты, в первую очередь в рамках фишинговых кампаний. Несмотря на изначальную цель технологии — повышение скорости загрузки страниц — хакеры активно адаптируют AMP и сопровождающие сервисы Google, что значительно осложняет задачу обнаружения и блокировки вредоносных ссылок.
Злоупотребление Google AMP и методы перенаправления
Аналитика показывает, что объем злоупотреблений функциями Google AMP остается стабильно высоким на протяжении последних лет, и в 2024 году эта тенденция только усиливается. Среди ключевых приемов злоумышленников выделяются:
- Использование различных URL-адресов Google и доменов верхнего уровня (TLD), характерных для конкретных стран, например, .br и .fr, с целью сокрытия вредоносного контента от защищенных шлюзов электронной почты (SEGs).
- Эксплуатация доверия к доменам Google — репутация поискового гиганта снижает подозрения и повышает вероятность прохождения защищенных систем.
- Применение сервисов Google Maps и Translate как промежуточных каналов перенаправления, что усложняет отслеживание и блокировку конечных фишинговых ресурсов.
Особенно существенным фактором является использование CAPTCHA, которое выявлено в 63,3% фишинговых писем с URL-адресами перенаправления через Google AMP. CAPTCHA препятствует автоматическому анализу ссылок системами безопасности, так как их обход требует взаимодействия пользователя. По сути, хакеры пользуются этой задержкой для улучшения шансов успешной атаки.
Альтернативные тактики и новые векторы атак
В процессе дальнейших исследований была выявлена новая тактика — злоумышленники отходят от стандартных URL-адресов Google AMP и переходят к использованию формата hxxps://google.com/url?sa. Такой подход маскирует вредоносные ссылки под привычные и доверенные адреса Google, позволяя обходить защиту и уводить пользователя на вредоносные сайты по незнанию.
Кроме того, хакеры активно используют поддомены Google Translate для создания двухуровневых схем перенаправления. Вредоносный URL может быть встроен в HTML переведённой страницы, что практически не заметно для конечного пользователя. Интересно, что в некоторых случаях фишинговый контент размещается непосредственно на страницах Google Translate и отображается в браузере, что значительно затрудняет обнаружение атаки системами безопасности.
Экспертное мнение и перспективы развития
Компания Cofense Intelligence отметила значительный рост использования URL-адресов перенаправления Google за пределами Google AMP в 2024 году. По их мнению, это свидетельствует о стратегическом сдвиге в методах злоумышленников — от первоначальной фокусировки на Google AMP к более широкому и изощрённому применению механизмов перенаправления Google.
Данная эволюция фишинговых тактик подчёркивает сложность и динамичность борьбы с киберугрозами, а также необходимость постоянного совершенствования инфраструктур безопасности, чтобы быть на шаг впереди атакующих.
Вывод очевиден — современная кибербезопасность требует глубокого понимания новых и адаптивных методов злоумышленников, чтобы эффективно защищать пользователей и корпоративные системы от фишинговых угроз с использованием Google AMP и прочих сервисов гиганта.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция фишинга: злоупотребление Google AMP и перенаправлениями".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.