Добро пожаловать в Google. Введите пароль, чтобы его украли
NewsMakerАнтивирус не пикнул, потому что фишинг пришёл из доверенного облака.
Злоумышленники нашли новый способ обхода защитных систем, размещая фишинговые страницы на платформе Google Apps Script. Это даёт им возможность маскировать вредоносные сайты под легитимные и собирать учётные данные пользователей без подозрений со стороны антивирусов и систем фильтрации трафика.
Как сообщают специалисты Cofense, злоумышленники рассылают электронные письма с якобы счетами на оплату или налоговыми уведомлениями. В теле письма содержится ссылка, ведущая на веб-страницу, размещённую в домене Google — script.google.com, что позволяет пройти через большинство систем фильтрации без тревожных сигналов. Основная цель — заставить пользователя ввести логин и пароль на поддельной странице входа, визуально неотличимой от настоящей.
Google Apps Script — это облачная платформа, основанная на языке JavaScript, позволяющая автоматизировать процессы и расширять возможности продуктов Google Workspace, включая Google Sheets, Docs, Drive и Gmail. Одной из особенностей платформы является возможность публикации собственных скриптов в виде публичных веб-приложений, которым присваивается домен Google. Именно это используют атакующие, создавая фальшивые формы входа и встраивая их в доверенную инфраструктуру Google.
После ввода данных пользователю демонстрируется редирект на настоящий сервис, что создаёт иллюзию легитимности и даёт мошенникам время воспользоваться полученными учётными записями. Для вывода данных используется скрытый запрос, незаметный для пользователя.
Опасность такого подхода заключается в том, что злоумышленники получают гибкий инструмент управления атаками — они могут в любой момент поменять содержимое скрипта, не меняя ссылки. Это позволяет легко адаптироваться под разные приманки и не запускать повторные фишинговые кампании.
Эксперты рекомендуют компаниям ужесточить проверку ссылок на домены облачных сервисов, включая Google Apps Script, и при возможности ограничить или заблокировать доступ к ним. Это особенно важно для организаций, где в обращении находятся чувствительные данные и корпоративные аккаунты. Компания Google уже предпринимала меры для борьбы с фишинговыми атаками в своих сервисах.
На момент публикации Google не предоставила комментариев относительно возможных мер защиты от подобного рода злоупотреблений.
Злоумышленники нашли новый способ обхода защитных систем, размещая фишинговые страницы на платформе Google Apps Script. Это даёт им возможность маскировать вредоносные сайты под легитимные и собирать учётные данные пользователей без подозрений со стороны антивирусов и систем фильтрации трафика.
Как сообщают специалисты Cofense, злоумышленники рассылают электронные письма с якобы счетами на оплату или налоговыми уведомлениями. В теле письма содержится ссылка, ведущая на веб-страницу, размещённую в домене Google — script.google.com, что позволяет пройти через большинство систем фильтрации без тревожных сигналов. Основная цель — заставить пользователя ввести логин и пароль на поддельной странице входа, визуально неотличимой от настоящей.
Google Apps Script — это облачная платформа, основанная на языке JavaScript, позволяющая автоматизировать процессы и расширять возможности продуктов Google Workspace, включая Google Sheets, Docs, Drive и Gmail. Одной из особенностей платформы является возможность публикации собственных скриптов в виде публичных веб-приложений, которым присваивается домен Google. Именно это используют атакующие, создавая фальшивые формы входа и встраивая их в доверенную инфраструктуру Google.
После ввода данных пользователю демонстрируется редирект на настоящий сервис, что создаёт иллюзию легитимности и даёт мошенникам время воспользоваться полученными учётными записями. Для вывода данных используется скрытый запрос, незаметный для пользователя.
Опасность такого подхода заключается в том, что злоумышленники получают гибкий инструмент управления атаками — они могут в любой момент поменять содержимое скрипта, не меняя ссылки. Это позволяет легко адаптироваться под разные приманки и не запускать повторные фишинговые кампании.
Эксперты рекомендуют компаниям ужесточить проверку ссылок на домены облачных сервисов, включая Google Apps Script, и при возможности ограничить или заблокировать доступ к ним. Это особенно важно для организаций, где в обращении находятся чувствительные данные и корпоративные аккаунты. Компания Google уже предпринимала меры для борьбы с фишинговыми атаками в своих сервисах.
На момент публикации Google не предоставила комментариев относительно возможных мер защиты от подобного рода злоупотреблений.