Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Применение Google Apps Script в фишинге | Блог Касперского

Применение Google Apps Script в фишинге | Блог Касперского

Чтобы обойти антифишинговые фильтры, злоумышленники используют сервис Google Apps Script в качестве редиректа.

Чтобы выманить у сотрудников компаний учетные данные от корпоративной почты, злоумышленникам в первую очередь нужно обмануть антифишинговые решения на почтовых серверах. Нередко для этого они пытаются использовать легитимные веб-сервисы: те, как правило, имеют заслуживающую доверия репутацию и не вызывают подозрений у почтовых фильтров. В последнее время в качестве одного из таких сервисов мошенники все чаще используют Google Apps Script.

Что такое Apps Script и как его используют злоумышленники

Apps Script — скриптовая платформа Google, построенная на базе Java Script. По задумке авторов, она служит для автоматизации задач как в продуктах компании (например, аддонов для Google Docs), так и в сторонних приложениях. По большому счету, это сервис, позволяющий создавать скрипты и исполнять их в инфраструктуре Google.

В почтовом фишинге этот сервис используют, по сути, для редиректа. Вместо того, чтобы вставлять непосредственно URL вредоносного сайта, злоумышленники зашивают в текст ссылку на скрипт. Таким образом они решают сразу несколько задач:

  1. Для антифишингового решения на почтовом сервере письмо выглядит как нормальное послание с гиперссылкой на легитимный сайт Google с нормальной репутацией.
  2. Такая схема позволяет эксплуатировать фишинговый сайт дольше, поскольку его URL не светится в письмах, а следовательно, не виден большей части защитных решений.
  3. Схема получает определенную гибкость — при необходимости скрипт можно поменять (на случай, если сайт все-таки будет забанен вендорами защитных решений), а кроме того, скрипт позволяет экспериментировать с доставкой контента (например, посылать жертву на разные языковые варианты сайта в зависимости от региона).

Пример использования уловки с Google Apps Script

Все, что нужно злоумышленникам — заставить пользователя кликнуть по ссылке. В последнее время чаще всего в качестве повода используют «переполнение почтового ящика». В теории выглядит логично — место, отведенное под почтовый ящик жертвы, закончилось, и нужно либо удалять старые письма, либо запрашивать расширение квоты.

Типичное фишинговое письмо, использующее уловку с переполненным ящиком

Типичное фишинговое письмо, использующее уловку с переполненным ящиком

На практике злоумышленники чаще всего действуют достаточно небрежно и оставляют явные признаки мошенничества, которые легко может заметить даже человек, не знакомый с реальным форматом нотификаций от почтового клиента:

  • Письмо пришло вроде бы от Microsoft Outlook, однако почтовый адрес отправителя имеет какой-то совершенно посторонний домен. В легитимном письме так не бывает — нотификация о переполнении ящика приходит от сервера exchange, работающего в инфраструктуре вашей компании. Плюс, если приглядеться, то заметно, что имя отправителя Microsoft Outlook написано без пробела и с символом 0 вместо буквы O.
  • Самое главное: если подвести мышку к ссылке Fix this in storage settings, то вы увидите реальный адрес:
    Ссылка на Google Apps Script в письме

    Ссылка на Google Apps Script в письме

    Легитимных причин, почему из нотификации от почтового клиента Microsoft нужно переходить на сайт Google — нет. Да и вообще из какого бы то ни было письма. Единственная причина — попытка фишинга.

  • В глаза бросается красная шкала — ваш почтовый ящик внезапно превысил лимит на 850 мегабайт. Так не бывает – Outlook начинает предупреждать о том, что место заканчивается, задолго до достижения лимита. То есть чтобы внезапно превысить его настолько, нужно получить примерно гигабайт спама. Это крайне маловероятно. На всякий случай — легитимная нотификация Outlook выглядит вот так:
    Легитимная нотификация о скором переполнении почтового ящика

    Легитимная нотификация о скором переполнении почтового ящика

  • Если вы все-таки ткнули на Fix this in storage settings, то скрипт перенаправит вас на фишинговый сайт. В данном случае он является достаточно убедительной копией страницы логина от веб-интерфейса Outlook. Однако следует обратить внимание на адресную строку браузера — хостится она не в инфраструктуре жертвы, а, как обычно, на «левом» сайте.

Как не попасться на крючок

Как показывает практика, злоумышленники могут прислать фишинговое письмо, в котором не будет как таковой фишинговой ссылки. Поэтому для надежной защиты от уловок мошенников необходимо иметь антифишинговое решение и на уровне почтового сервера, и на компьютерах пользователей.

Кроме того, имеет смысл поддерживать уровень осведомленности сотрудников о современных киберугрозах и фишинговых уловках при помощи онлайновых тренингов.


Источник: Лаборатория Касперского

28.07.2021