Nová podvodná kampaň zneužíva e-maily od Googlu. Hackeri našli spôsob, ako oklamať aj Slovákov
Bezpečnostní analytici z Check Point varujú pred útokom, ktorý zneužíva legitímne správy od Googlu.
Bezpečnostní experti z Check Point Harmony Email Security odhalili premyslenú phishingovú kampaň, ktorá sa tvárila ako úplne legitímne správy od Google. Útočníci využili oficiálne nástroje Google Cloud na automatické zasielanie emailov, takže správy vyzerali autenticky a bežný používateľ ich považoval za bezpečné.
Počas 14 dní útočníci poslali 9 394 emailov približne 3 200 zákazníkom. Správy pochádzali zo skutočnej Google adresy noreply-application-integration@google.com, čo im pridávalo dôveryhodnosť.
Prečo tradičné overenie zlyhalo
Normálne sa spoliehame na SPF, DKIM a DMARC, protokoly, ktoré kontrolujú, či email skutočne odoslal vlastník domény. Tu však útočníci nič nefalšovali. Email poslal skutočný Google server, takže digitálne podpisy SPF a DKIM boli úplne platné. Pre bezpečnostné systémy to vyzeralo, že Google posiela správy sám sebe alebo svojim klientom. Útok tak obchádza tradičné metódy overenia odosielateľa a robí ich prakticky neúčinnými.
Základom bol Google Cloud Application Integration Send Email task, nástroj určený na automatizované upozornenia a systémové workflow. Táto funkcionalita umožňuje posielať notifikácie na ľubovoľné emailové adresy, čo vysvetľuje, ako mohli útočníci rozosielať správy priamo z Google infraštruktúry bez kompromitácie samotného Googlu. Emaily tak odchádzali z oficiálnych domén a pôsobili úplne legitímne.
Správy napodobňovali klasické Google upozornenia, používali rovnaké písmo, farby a štýl textu. Najčastejšie hlásili nové hlasové správy alebo prístup k súborom, napríklad k „Q4 dokumentu“, a obsahovali linky, ktoré mali obete prinútiť kliknúť.
Neprehliadni
Zdroj: Check Point
Viacstupňový presmerovací trik
Útok využíval trojstupňovú redirekciu, aby znížil podozrenie a spomalil detekciu:
- Kliknutie presmerovalo používateľa na storage.cloud.google.com, dôveryhodnú cloudovú službu.
- Ďalší presun na googleusercontent.com zobrazil falošnú CAPTCHA alebo overovaciu stránku. Tento krok je zaujímavý, bezpečnostné sandboxy a automatizované skenery nevedia CAPTCHA vyriešiť, takže link vyhodnotia ako bezpečný. Útočníci tým vytvorili účinný štít proti automatizovanej detekcii.
- Posledný krok presmeroval používateľa na falošnú prihlasovaciu stránku Microsoftu, ktorá však nebola hostovaná na žiadnej oficiálnej Microsoft doméne. Všetky zadané prihlasovacie údaje sa v tomto bode zachytávali.
Fenomén „Living off the Cloud“
Celý útok prebiehal výlučne na infraštruktúre Google: odosielanie emailov cez Application Integration, klik na Cloud Storage, overenie na Google User Content. Útočník bol v tomto reťazci prakticky neviditeľný, schovával sa za legitímnu infraštruktúru, ktorú firmy nemôžu jednoducho blokovať, lebo by stratili prístup k vlastným nástrojom.
Zdroj: Check Point
Najviac ohrozené boli firmy v priemysle a výrobe (19,6 %), technologické a SaaS firmy (18,9 %) a banky a poisťovne (14,8 %). Ďalej nasledovali poradenstvo, maloobchod, médiá, vzdelávanie a zdravotníctvo.
Geograficky dominovali Spojené štáty (48,6 %), za nimi Ázia a Tichomorie (20,7 %) a Európa (19,8 %). Útoky sme zaznamenali aj na Slovensku.
Tieto sektory sa bežne spoliehajú na automatizované notifikácie a zdieľané dokumenty, takže Google-branded správy vyzerali prirodzene a dôveryhodne.
Čo na to Google
„Zablokovali sme niekoľko phishingových kampaní, ktoré zneužívali emailovú notifikáciu v Google Cloud Application Integration. Ide o zneužitie nástroja na workflow, nie o kompromitáciu Google infraštruktúry. Urobili sme opatrenia, aby sme chránili používateľov a pracujeme na ďalších krokoch, ktoré znížia riziko zneužitia,“ uviedla spoločnosť Google.
Aj keď email vyzerá úplne legitímne, stále môže byť podvrhnutý. Klikanie na linky bez overenia môže viesť k odcudzeniu prihlasovacích údajov. Tento útok ukazuje, že dôveryhodná infraštruktúra môže byť zneužitá, útočník nepotrebuje vlastné servery ani falšovať doménu.
