Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Oszuści używają Dokumentów Google

Vicente Diaz
Kaspersky Lab Expert
Dodany 25 października 2012, 11:11 CEST
Tagi:

Phishing nie jest techniką przełomową. Wręcz przeciwnie - wydaje się, że istnieje od zawsze i jest to wskaźnik jego skuteczności. Dobrowolne podawanie przez ludzi swoich danych dotyczących dostępu do banku online tylko dlatego, że ktoś o nie zapytał, wydaje się nieprawdopodobne. Istnieje jednak spory odsetek ludzi, którzy nadal stają się ofiarami tej jednej z najprostszych metod oszustwa.

Zarówno wzrastająca świadomość użytkowników, jak i narzędzia antyphishingowe, utrudniają oszustom odnoszenie sukcesów w ich próbach ataku na nasze pieniądze. Widać to w spadku ilości dystrybuowanego ostatnio spamu. Ale to nie jedyny powód: użytkownicy do bezpośredniej komunikacji zaczynają wykorzystywać nowe platformy, takie jak serwisy społecznościowe.

W niniejszym artykule chcę pokazać przykład kreatywności, jaką wykazali się cyberoszuści w celu uniknięcia filtrów antyspamowych i antyphishingowych.

W jednej z wcześniejszych publikacji omówiłem sposób, w jaki cyberprzestępcy wykorzystują usługi oparte na chmurze do minimalizowania kosztów własnej działalności i uniknięcia wykrycia. W tym artykule zaprezentuję wykorzystanie do phishingu usługi Dokumentów Google.

Procedura jest typowa: wszystko zaczyna się od wiadomości e-mail zawierającej szkodliwy odsyłacz. Jednak, żaden filtr antyphishingowy nie podejrzewa usługi Google o złośliwą działalność:

Wiadomość e-mail napisana jest łamaną hiszpańszczyzną. Po kliknięciu odsyłacza użytkownicy zostają przekierowani do dokumentu Google (hostowanego przez Google):

gdzie ofiary pytane są o nazwę użytkownika, adres e-mail, hasło (dwukrotnie) i datę ostatniego logowania. Cel napastników nie jest jasno sprecyzowany - wygląda na to, że próbują oni ukraść dane logowania do konta pocztowego ofiary.

Jak wspomniałem wcześniej, szkodliwy dokument został utworzony w usłudze Dokumenty Google (Google Docs). W przypadku, gdy ktoś poda wymagane dane wejściowe, zostaną one wysłane bezpośrednio do właściciela dokumentu.

Ale to tylko wierzchołek góry lodowej. Dokumenty Google pozwalają na hosting innych treści - takich jak pliki wykonywalne w różnych formatach - w wyniku czego Google Docs staje się wygodną i bezpłatną usługą hostingową do rozprzestrzeniania szkodliwej zawartości. Dodatkowo, połączenie z usługą Google Docs to HTTPS, co jeszcze bardziej ułatwia życie cyberprzestępcom.

Na ilustracji można zobaczyć, w jaki sposób firma Google oferuje możliwość zgłoszenia złośliwej zawartości, co niezwłocznie uczyniłem.

Myślałem, że stosowanie tej metody nie jest powszechne. Że to tylko wyjątek, który pokazuje jak procedury bezpieczeństwa mogą zostać ominięte przez nadużywanie legalnych usług. Że kluczem do sukcesu cyberprzestępców jest nauczyć się to robić w taki sposób, aby latać poniżej radaru i unikać wykrycia.

Jednak, po sprawdzeniu danych zebranych przez moich kolegów, już nie jestem tego taki pewien. Opisane działanie jest o wiele bardziej powszechne, niż sądziłem. Powodem popularności jest w tym przypadku skuteczność - zarówno w unikaniu mechanizmów ochrony, jak i w usypianiu czujności potencjalnych ofiar.

PS: Dziękuję moim kolegom, Fabio i Michaelowi, za pomoc udzieloną mi podczas pisania tego artykułu.