Dysk Google źródłem infekcji? Hakerzy znaleźli sposób na skuteczny phishing

6 listopada 2020, 08:39
person-in-gray-long-sleeve-shirt-using-macbook-pro
Fot. Pikrepo

Hakerzy wykorzystują usługę „Dysk Google” do prowadzenia kampanii phishingowej. Zainfekowane pliki oraz linki trafiają do ofiar za pomocą specjalnych powiadomień lub e-maili, których rzekomym nadawcą jest Google. Koncern usuwa szkodliwe dokumenty, lecz operacja hakerów w ostatnich tygodniach „nabrała rozpędu”.

Podczas kampanii hakerzy wykorzystali usługę Dysk Google jako platformę do udostępniania zainfekowanych plików. Phishing jest bardzo popularną i sprawdzoną metodą cyberprzestępców, lecz pomimo wielu kampanii informacyjnych użytkownicy nadal dają się zaskoczyć.

Tym razem tworzone, a następnie rozsyłane są przez hakerów e-maile oraz powiadomienia, które miały rzekomo pochodzić bezpośrednio od Google. W ten sposób hakerzy chcą zachęcić ofiary do interakcji i zaangażowania się we „współpracę” nad udostępnianymi dokumentami - donosi Wired.

Po kliknięciu w wiadomość lub powiadomienie użytkownik jest przekierowywany do zainfekowanego pliku. W przeciwieństwie do wielu kampanii spamu, które Gmail sprawnie identyfikuje i blokuje, w tym przypadku fikcyjne e-maile nie tylko trafiają na skrzynki odbiorcze użytkowników, ale także zyskują dodatkową wiarygodność, pochodząc rzekomo od samego Google.

Usługa Dysk Google jest bardzo przydatnym rozwiązaniem, ale także możliwością dla hakerów. W miejscach pracy, gdy wiele osób korzysta z produktów amerykańskiego koncernu oznaczanie danego pracownika w pliku powoduje, że dostaje on powiadomienie u siebie na urządzeniu, dzięki czemu szybko i wygodnie może zaangażować się w pracę nad konkretnym dokumentem. Dla cyberprzestępców to skuteczny sposób na rozpowszechnianie zainfekowanych treści.

Wired udało się dotrzeć do szczegółów pewnego incydentu, który miał miejsce podczas kampanii. W ramach cyberataku jedno z powiadomień łączyło się z dokumentem Google Slides, utworzonym przez użytkownika Gmail o rosyjskiej nazwie. Analiza historii tego pliku wykazała, że był on wielokrotnie modyfikowany i wykorzystywany przez hakerów podczas kampanii. W wyniku interwencji Wired zainfekowany dokument został usunięty przez Google.

Z kolei rozsyłane e-maile najczęściej są napisane w dwóch językach: rosyjskim oraz słabym angielskim. W ich treści zawsze znajduje się odsyłacz do zainfekowanego pliku lub witryny internetowej. Jedna z tego typu domen powstała 26 października br., co świadczy, że jest to świeża kampania hakerska. W witrynie znajdują się komunikaty z prośbą o kliknięcie w link w celu wylosowania nagrody. Inne fikcyjne strony próbują skłonić użytkowników do interakcji poprzez nawoływanie do sprawdzenia konta bankowego za pomocą specjalnego łącza – informuje Wired.

Jedną z ofiar operacji phishingowej był ukrywający się pod twitterową nazwą „Jake”, niezależny specjalista zajmujący się cyberbezpieczeństwem. O kampanii poinformował za pomocą social mediów.

Jak wskazał w rozmowie z Wired, z reguły e-maile są dokładnie monitorowane i skanowane przez specjalne systemy, aby przed dostarczeniem ich do użytkownika ograniczyć wiadomości spamowe. Jednak w przypadku Dysk Google nie występuje taka ochrona. Według Jake’a hakerzy zawsze będą próbowali znaleźć nowe metody dostarczania złośliwego oprogramowania ofiarom.

Do sprawy odniósł się również David Emm, ekspert Kaspersky. Na łamach Wired podkreślił, że Google jest trudno cokolwiek zrobić w sytuacji, gdy powiadomienia lub e-maile pochodzą z „wiarygodnego” konta. W związku z tym kluczowy jest rozsądek i czujność użytkowników. Nie powinni oni klikać w załącznik lub plik, jeśli nie są pewni jego zawartości. „Jeśli nie spodziewałeś się wiadomości i nie znasz jej nadawcy, nie reaguj” – apeluje o racjonalne działanie w sieci David Emm.

Patrząc na liczbę komunikatów dotyczących kampanii z udziałem Dysku Google udostępnianych między innymi w social mediach, widać, że w ostatnim czasie „nabiera ona rozpędu”. Wiele plików wykorzystywanych przez hakerów z pewnością zostało usuniętych przez amerykański koncern, lecz nie oznacza to jednak, że sytuacja została opanowana.

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24