Yakın tarihli bir kimlik avı kampanyasının arkasındaki operatörler, hedefleri kötü niyetli bağlantıları tıklamaya ikna eden görünüşte meşru e-postalar göndermek için Google Dokümanlar’daki yorum özelliğini kullanıyor.
Bu kampanyayı keşfeden Avanan araştırmacılarına göre, tehdit aktörleri Google’ın popüler üretkenlik paketindeki kullanıcı güvenini istismar etmenin yollarını ilk kez bulamıyorlar. Bu yılın başlarında, saldırganların kötü amaçlı bir indirme içeren Google Dokümanlar dosyalarına bağlantılar gönderdiğini gözlemlediler. Dosyayı indiren kurbanlar, oturum açma kimlik bilgilerini girmeleri için kandırıldı.
En son tehdit, farklı bir yöntem kullanıyor. belgelenmiş 2020 saldırılarında. Aralık ayından itibaren Avanan, saldırganların Google Dokümanlar yorum özelliğini kullanarak, yalnızca Outlook kullanıcılarını hedef alan bir kimlik avı kampanyasında gördüklerini gördü. Saldırı, operatörlerin 100’den fazla benzersiz Gmail hesabı kullandığı 30 kiracıda en az 500 gelen kutusuna ulaştı.
Bu saldırıyı gerçekleştirmek için tehdit aktörü bir Google Dokümanlar belgesi oluşturur ve kötü amaçlı bir bağlantı içeren bir yorum ekler. Kurbanı “@” kullanarak yoruma eklerler. Bu eylem, hedefe otomatik olarak Google Dokümanlar dosyasına bağlantı içeren bir e-posta gönderir. E-posta, kötü bağlantılar ve saldırgan tarafından eklenen diğer metinler de dahil olmak üzere tam yorumu görüntüler.
Kimlik avcıları için çekici bir tekniktir, çünkü bu e-posta bildirimi doğrudan, genellikle kullanıcılar arasında ve çoğu İzin Verme listesinde güvenilen Google’dan gelir, bu nedenle kurbanların gelen kutularına düşme olasılığı yüksektir. Ayrıca, e-posta saldırganın e-posta adresini içermez, yalnızca görünen adını içerir. Bu, kurbanların ve istenmeyen posta önleme filtrelerinin bir saldırıyı tanımasını zorlaştırır.
Saldırgan kolayca ücretsiz bir Gmail hesabı oluşturabilir ve bir Google Dokümanı oluşturabilir, bir yorum ekleyebilir ve bunu istediği hedefe gönderebilir. Alıcı, gönderenin e-posta adresini görmeyeceğinden, saldırgan görünen ad olarak bir iş arkadaşının veya arkadaşının adını kullanabilir ve hedefin tıklama olasılığını artırabilir. Saldırgan, motivasyonlarına bağlı olarak bu tekniği kötü amaçlı yazılım dağıtmak, kimlik bilgilerini çalmak veya başka eylemler gerçekleştirmek için kullanabilir.
G Doc Erişimine Gerek Yok
Avanan araştırmacılarının bildirdiğine göre, bildirim e-postası kötü amaçlı bağlantıyı içerdiğinden, saldırının çalışması için kurbanın bir belgeye erişmesi gerekmediğini belirtmekte fayda var. Blog yazısı. Saldırganın dosyayı onlarla paylaşması da gerekmez; sadece bir yorumda hedeften bahsetmek yeterlidir.
Aralık kampanyası, kimlik avı saldırılarında Google Dokümanlar yorumlarını kullandı; ancak ekip, bu tekniğin Google Slaytlar’da da çalıştığını söylüyor. Avanan, Google’a bulgularını 3 Ocak’ta bildirdi.
Bu tekniğe karşı korunmak için, güvenlik uzmanları çalışanlara gönderenin e-postalarının olduğunu iddia ettikleri kişininkiyle eşleşmesini onaylamalarını tavsiye etmeye teşvik edilir. Emin değillerse, gönderene ulaşmalı ve yorumu göndermek istediklerinden emin olmalıdırlar.