Исследование компании Avanan показало, что хакеры начали чаще использовать функции Google Docs и Google Slides для распространения фишинговых ссылок. Злоумышленники добавляют комментарий к Google документу и отмечают цель через символ @, после которого идет адрес почты. После сохранения комментария Google автоматически отправляет письмо указанному человеку с полным текстом, включая ссылки. Адрес электронной почты отправителя не отображается, вместо него только имя злоумышленника, а отправитель — [email protected]. Если пользователь переходит по ссылке — устройство заражается вредоносным кодом.
Отправка и пример полученного сообщения через Google Docs
Сообщения отправляются напрямую из Google со 100 учетных записей. Пользователи и сами сервисы доверяют электронным письмам, приходящим от интернет-гиганта, поэтому сообщения не фильтруются антиспамом и защитой почтовых служб. Злоумышленник может даже не выдавать права доступа к документу — достаточно просто упомянуть человека в комментарии.
Шон Смит, директор по инфраструктуре компании nVisium, отметил, что эта атака не имеет существенных отличий от многих других методов фишинга, и дал рекомендации. «Относитесь с опаской к ссылкам в электронных письмах, даже если они от знакомых, потому что учетную запись могут взломать. Прежде чем перейти по ссылке, наводите на нее курсор и убедитесь, что встроенная гиперссылка направляет на тот же сайт, что в тексте письма», — сказал Смит.
В прошлом году Avanan сообщали о другом эксплойте для Google Docs. Он также позволял хакерам отправлять пользователям вредоносные фишинговые веб-сайты. Прием давно используется киберпреступниками, Google даже пытался бороться с ним, но хакеры все равно находят лазейки. Ряд экспертов по кибербезопасности подтвердили, что этот вид атаки используется злоумышленниками годами.
