- Saldırganlar, meşru Google alanlarından kimlik avı e-postaları göndermek için Google Cloud Uygulama Entegrasyonunu kötüye kullandı
- E-postalar Google bildirimlerini taklit ederek kurbanları güvenilir hizmetler aracılığıyla yönlendirdi
- Yaklaşık 3.200 işletme hedeflendi; Kurbanların çoğu ABD imalat, teknoloji ve finans sektörlerinde
Meşru Google Hizmetler bir kez daha kimlik avı saldırılarında kötüye kullanılıyor, hedefleri başarıyla kötü amaçlı bağlantılara tıklamaları ve oturum açma kimlik bilgilerini vermeleri için kandırıyor.
Check Point’teki siber güvenlik araştırmacıları yeni yayınlanan bir raporda, iki hafta içinde yaklaşık 3.200 işletmeye gönderilen yaklaşık 10.000 e-posta gördüklerini söyledi.
Mesajların tamamı noreply-application-integration@google.com e-posta hesabından gönderilmişti; bu, saldırganların Google Cloud Uygulama Entegrasyonunu kötüye kullandığı anlamına geliyordu.
ABD’de üretim hedefleniyor
Bu yönetilen bir Google Bulut özel kod yazmaya gerek kalmadan uygulamaları, API’leri ve veri kaynaklarını birbirine bağlayan hizmet. Kuruluşların, önceden oluşturulmuş bağlayıcıları, tetikleyicileri ve eylemleri kullanarak bulut hizmetleri, SaaS uygulamaları ve dahili sistemler arasındaki iş akışlarını otomatikleştirmesine olanak tanır. Google Cloud Uygulama Entegrasyonu yoluyla oluşturulan e-postalar genellikle Google’a ait altyapı ve alanlardan kaynaklanır; bu, otomatik bir iş akışının parçası olarak gönderildikleri ve Google’ın güçlü gönderen itibarını devralabilecekleri anlamına gelir.
Kimlik avı kampanyalarında, tehdit aktörleri bir Google Cloud projesi oluşturabilir veya bu projeyi tehlikeye atabilir ve Gmail API’leri veya diğer bağlı e-posta hizmetleri aracılığıyla e-posta gönderen bir entegrasyon iş akışı yapılandırabilir. Başka bir deyişle bu, Google’ın altyapısının ihlali değil, basit bir suistimaldir.
Saldırganlar, e-postaların daha da inandırıcı görünmesini sağlamak için mesajların Google’ın bildirim stili, dili ve biçimine yakından uymasını sağladı. En yaygın tuzaklar arasında bekleyen sesli posta mesajları veya bir belgenin paylaşılmasıyla ilgili bildirimler yer alır.
Bu e-postalarda paylaşılan bağlantı, güvenilir bir Google Cloud hizmeti olan Storage.google.cloud.com adresine yönlendirir. Ancak daha sonra googleusercontent.com’a yönlendirilir ve burada güvenlik tarayıcılarını engellemek için oluşturulmuş sahte bir CAPTCHA’yı geçmeleri gerekir. Sonunda kurbanlar sahte bir siteye yönlendiriliyor Microsoft oturum açma bilgilerini vermeleri için kandırılabilecekleri oturum açma sayfası.
Kurbanların çoğunluğu ABD’de (%48,6) imalat/endüstriyel (%19,6), teknoloji/SaaS (%18,9) ve finans/bankacılık/sigorta (%14,8) sektörlerinde çalışıyordu.
Google, Check Point’e Google Cloud Uygulama Entegrasyonunu kötüye kullanan “birkaç kimlik avı kampanyasının” zaten engellendiğini söyledi.
Google, “Önemlisi, bu etkinliğin, Google’ın altyapısının tehlikeye atılmasından değil, bir iş akışı otomasyon aracının kötüye kullanılmasından kaynaklanmasıydı. Kullanıcıları bu spesifik saldırıya karşı savunmak için korumalar uygulamış olsak da, kötü niyetli aktörlerin sık sık güvenilir markaları taklit etmeye çalışması nedeniyle dikkatli olmaya devam etmenizi öneriyoruz. Daha fazla kötüye kullanımı önlemek için ek adımlar atıyoruz” dedi.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.