Cyberprzestępcy zaczęli wykorzystywać legalną funkcję Google Cloud Application Integration do masowej dystrybucji phishingu, który wygląda jak „normalne” firmowe powiadomienie. W zaledwie 14 dni wysłano blisko 10 tys. złośliwych maili, uderzając w ok. 3200 organizacji z całego świata. Wszystkie wiadomości pochodziły z prawdziwego, google’owego adresu, co dramatycznie zwiększało ich wiarygodność – ostrzegają specjaliści Check Point Research.
Opisana przez zespół Check Point Research kampania phishingowa nie podszywała się pod domenę znenej firmy. Zamiast tego nadużywano chmurowej automatyzacji. Mechanizm działał tak, iż napastnicy konfigurowali w Google Cloud zadanie „Send Email” w ramach Application Integration, dzięki czemu mogli wysyłać wiadomości do dowolnych odbiorców. Skutek był taki, iż e-mail wyglądał jak typowe powiadomienie systemowe od Google.
W praktyce ofiary dostawały komunikaty przypominające rutynowe alerty z życia firmy: o rzekomej nowej poczcie głosowej, o udostępnieniu pliku lub o nadaniu uprawnień (np. do dokumentu „Q4”). Wszystko było napisane i sformatowane tak, by wyglądało jak standardowe powiadomienie i skłonić użytkownika do kliknięcia „tu i teraz”.
Scenariusz kliknięcia był szczególnie złośliwy, bowiem pierwsze kroki prowadziły przez zaufaną infrastrukturę. Użytkownik trafiał najpierw na link hostowany w storage.cloud.google.com (co obniża czujność), potem był przekierowywany na googleusercontent.com, gdzie pojawiała się fałszywa „weryfikacja” typu CAPTCHA – element mający utrudnić pracę skanerom bezpieczeństwa. Dopiero na końcu ofiara lądowała na fałszywej stronie logowania Microsoft, gdzie dane trafiały w ręce atakujących.
Kogo atakowano?
Z analiz Check Pointa wynika, iż w ostatnich 14 dniach najczęstszym celem były firmy z sektorów produkcji przemysłowej (19,6%), technologii/SaaS (18,9%) oraz finansowo-ubezpieczeniowym (14,8%). Geograficznie dominowały Stany Zjednoczone (48,6%), następnie region Azji i Pacyfiku (20,7%) oraz instytucje z Europy (19,8%).
Google potwierdziło, iż zablokowało kilka kampanii wykorzystujących tę funkcję powiadomień oraz podkreśliło, iż nie doszło do naruszenia infrastruktury. Problemem było nadużycie narzędzia automatyzacji workflow. Firma deklaruje też dodatkowe kroki, by ograniczyć podobne działania w przyszłości.
Kampania ukazała zmianę reguł gry w cyberprzestrzeni – zagrożenia przestają wykorzystywać proceder podszywania się pod markę, tylko nadużywają legalne usługi chmurowe, które mają świetną reputację i łatwo przechodzą przez filtry poczty elektronicznej. W praktyce organizacje powinny wzmocnić polityki weryfikacji linków (nie tylko domen nadawcy), wdrożyć ochronę przed phishingiem analizującą ścieżki przekierowań, a użytkowników szkolić, wyjaśniając, iż kliknięcie w „google’owy” link nie jest już automatycznie bezpieczne, zwłaszcza gdy końcowo prowadzi do panelu logowania i prośby o hasło.
