Siber güvenlik şirketi Avanan tarafından yapılan bir araştırma gösterdi ki bilgisayar korsanları, kötü amaçlı içeriği spam filtreleri ve güvenlik araçlarından geçirmek için Google Dokümanlar’ın işlevselliğini giderek daha fazla kullanıyor.
Avanan’dan Jeremy Fuchs bir blog gönderisinde, Aralık ayında saldırganların Outlook kullanıcılarına yönelik saldırılar gerçekleştirmek için Google Dokümanlar ve Google Slaytlar’ın yorum özelliğini kullandığını söyledi.
“Bu saldırıda bilgisayar korsanları bir Google Dokümanına yorum ekler. Yorum hedeften @ ile bahseder. Bunu yaparken o kişinin gelen kutusuna otomatik olarak bir e-posta gönderilir. Google’dan gelen bu e-postada yorumun tamamı kötü niyetli bağlantılar ve metinler de dahil olmak üzere dahil edilmiştir.Ayrıca, e-posta adresi görüntülenmiyor, yalnızca saldırganın adı gösteriliyor ve bu durum sahtekarlık için uygun hale geliyor.’kimlik’ diye yazıyor Bay Fuchs.
Bu teknik siber suçlular tarafından uzun süredir kullanılmaktadır ve Google bile yayınlanan düzeltmeler Ekim ayında bu sorun için. Ancak Avanan, araştırmacıların bir yoruma eklenen kötü amaçlı bir bağlantı kullanarak Google Dokümanlar ve Google Slaytlar’daki güvenlik açığından yararlanmaya devam ettiğini gösteren resimler ekledi.
Fuchs, “Öncelikle Outlook kullanıcılarını hedeflediğini gördük, ancak özel olarak değil. Bilgisayar korsanlarının 100’den fazla farklı Gmail hesabı kullanarak 30 şirkette 500’den fazla gelen kutusuna ulaştı.” filtreleme sistemleri, çünkü e-posta doğrudan Google’dan geliyor.
avanan
Fuchs, Google’ın çoğu izin verilenler listesinde yer aldığını ve çoğu kişinin Google’dan gelen e-postalara güvendiğini söylüyor. E-posta korsanın e-posta adresini değil, yalnızca görünen adını kullandığından, istenmeyen posta önleme işlevleri de bu saldırıya karşı güçsüzdür. Yorumun şirket içinden mi yoksa dışarıdan mı geldiğini kimse anlayamaz.
Ek olarak, e-posta, bağlantılar ve metinle birlikte tam yorumu içerir. Yük, e-postanın kendisinde olduğundan, kurbanın belgeyi hiçbir zaman görüntülemesine gerek yoktur. Son olarak, saldırganın belgeyi paylaşmasına bile gerek yoktur – sadece şunlardan bahsedin yorumdaki kişi, ”diye ekliyor Fuchs.
“Bu saldırı ATP tarafından da tespit edilmedi. Avanan, 3 Ocak’ta Gmail’deki ‘E-posta yoluyla kimlik avını bildir’ düğmesi aracılığıyla Google’ı kusurdan haberdar etti.”
Şirket, geçen yıl rapor edildi Google Dokümanlar’ın bilgisayar korsanlarının kötü niyetli kimlik avı web sitelerini son kullanıcılara yaymasını da kolaylaştıran başka bir istismar.
Avanan, kullanıcıların kendilerine gönderilen bir Google Dokümanı yorumundaki herhangi bir bağlantıyı tıklamadan önce iki kez kontrol etmelerini önerir.
Bazı siber güvenlik uzmanları, bu tür saldırıların başarısından dolayı siber saldırganlar tarafından uzun yıllardır kullanıldığını hatırlattı.
nVisium’un altyapı direktörü Shawn Smith, saldırının diğer kimlik avı yöntemlerinden çok farklı olmadığını kaydetti.
“Kullanıcılar, hesaplarını tehlikeye atma riskiyle karşı karşıya olduklarından, meşru göndericilerden gelenler de dahil olmak üzere, e-postalardaki bağlantılara karşı her zaman dikkatli olmalıdır. Bana öyle geliyor ki bu, kendi başına bir ‘istismardan’ daha az. spam önleme eksikliğinden daha az, ”dedi Smith .
Bağlantıları kontrol etmenin yanı sıra, kullanıcılar ayrıca, köprünün onları bekledikleri yere – bağlantının gösterdiği yerden tamamen farklı bir siteye değil – gönderdiğini onaylamak için tıklamadan önce bağlantıların üzerine gelmelidir. . ”
Kaynak: “ZDNet.com”