Secondo Avnan, i criminali informatici hanno trovato un modo per creare e-mail di phishing convincenti che abusano delle funzionalità di Google Documenti e Drive per aggirare i filtri di sicurezza.
I ricercatori del fornitore di sicurezza della posta elettronica hanno affermato che questa è la prima volta che tali tecniche vengono utilizzate per sfruttare un servizio popolare come quello di Google.
L’e-mail che le vittime ricevono contengono quello che sembra essere un collegamento legittimo a Google Docs, ha spiegato Avnan in un post sul blog.
Facendo clic, l’utente viene indirizzato a una pagina di Google Documenti che ospita quello che sembra essere un documento di Word.
“Questa pagina di Google Documenti potrebbe sembrare familiare a coloro che condividono Google Documenti al di fuori della propria organizzazione. Questa, tuttavia, non è quella pagina. È una pagina HTML personalizzata creata per assomigliare alla familiare pagina di condivisione di Google Documenti”, ha spiegato Avnan.
“L’aggressore vuole che la vittima ‘Fai clic qui per scaricare il documento’ e una volta che la vittima fa clic su quel collegamento, verrà reindirizzata al vero sito Web di phishing dannoso dove le sue credenziali verranno rubate tramite un’altra pagina Web fatta per assomigliare Portale di accesso”.
L’attacco in sé è abbastanza semplice da eseguire. Un programmatore malevolo crea una pagina Web HTML progettata per assomigliare a una pagina di condivisione di Google Documenti e la carica su Google Drive.
Quindi fanno semplicemente clic con il pulsante destro del mouse per aprirlo in Google Documenti, prima di incorporarlo e pubblicarlo sul Web. Google fa la maggior parte del duro lavoro, inclusa la generazione di un collegamento che renderà il file HTML completo, ha spiegato Avnan.
Il venditore ha affermato che una tecnica simile era stata utilizzata per falsificare un documento DocuSign, portando l’utente a una falsa pagina di accesso a DocuSign.
Utilizzando Google Docs in questo modo, gli aggressori hanno buone possibilità di aggirare gli scanner di collegamenti statici utilizzati da molti prodotti di sicurezza legacy, ha affermato Avnan. Uno strumento basato sull’intelligenza artificiale in grado di individuare comportamenti sospetti dovrebbe funzionare meglio.
Il phishing rimane il principale vettore di minaccia per i criminali informatici di oggi. Dei 62,6 miliardi di minacce informatiche rilevate da Trend Micro lo scorso anno, oltre il 91% è stato inviato tramite e-mail.
Hank Schless, senior manager delle soluzioni di sicurezza presso Lookout, ha affermato che attacchi di phishing come questi potrebbero avere un grave impatto sulla sicurezza informatica aziendale.
“Gli attori delle minacce sanno che il furto di credenziali di accesso legittime è il modo migliore per entrare con discrezione nell’infrastruttura di un’organizzazione. Poiché la maggior parte delle organizzazioni utilizza Google Workspace o Microsoft 365 come piattaforma di produttività principale, gli aggressori creano campagne di phishing che sfruttano in modo specifico tali servizi”, ha aggiunto.
“Una volta che l’attaccante ha le credenziali di accesso e può accedere alla piattaforma cloud su cui ha scelto di costruire la sua campagna, non c’è limite ai dati che potrebbe esfiltrare”.
