Saldırganlar sahtekarlık Google Takvim hızla yayılan bir çağa davet ediyor kimlik avı E-posta korumalarını atlayabilen ve kimlik bilgilerini çalmayı, sonuçta finansal kazanç elde etmek için kullanıcıları dolandırmayı amaçlayan bir kampanya.
Check Point Software’deki araştırmacılar tarafından keşfedilen kampanya, e-postaların güvenilir bir marka veya birey gibi meşru bir kuruluş adına Google Takvim aracılığıyla gönderilmiş gibi görünmesini sağlamak için değiştirilmiş “gönderen” başlıklarına dayanıyor. açıklığa kavuşmuş 17 Aralık’ta yayınlanan bir blog yazısında.
Başlangıçta mesajlar, kötü amaçlı Google Takvim .ics dosyalarını içeriyordu ve bu da bir kimlik avı saldırısıTehdit avcıları şunu yazdı: Ancak saldırganlar, “güvenlik ürünlerinin kötü amaçlı Takvim davetlerini işaretleyebildiğini gözlemledikten sonra” etkinliklerini daha iyi gizlemek için bu dosyaları Google Çizimler ve Google Formlar bağlantılarıyla hizalamaya başladı.
Hedef Kitlesel Ölçekli Finansal Dolandırıcılıktır
Google Takvim’in 500 milyondan fazla kişi tarafından kullanıldığı ve 41 farklı dilde sunulduğu göz önüne alındığında, kampanyanın büyük bir saldırı yüzeyi sağladığı, dolayısıyla “bir hedef haline gelmesi şaşırtıcı değil” siber suçlular” Ekip, mali kazanç elde etmek için çevrimiçi hesaplardan taviz vermeye çalıştıklarını belirtti.
Araştırmacılar gönderide şöyle yazdı: “Bir kişi farkında olmadan hassas verileri ifşa ettikten sonra, ayrıntılar daha sonra siber suçluların kredi kartı dolandırıcılığı, yetkisiz işlemler veya benzeri yasa dışı faaliyetlerde bulunabileceği finansal dolandırıcılıklara uygulanır.” Çalınan verilerin, diğer kurban hesaplarındaki güvenlik önlemlerini atlayarak daha fazla tehlikeye yol açmak için de kullanılabileceğini eklediler.
Saldırganlar da kampanyayı hızla sürdürüyor; araştırmacılar dört haftalık bir süre içinde kampanyayla ilişkilendirilen 4.000’den fazla e-postayı gözlemledi. Saldırganların, bu mesajlarda sahte davetiyelerde yaklaşık 300 markanın referanslarını kullandıklarını ve bu markaların orijinal gibi göründüğünü yazdılar.
Google Takvim Kimlik Avı Nasıl Görünüyor?
Kampanyayla ilişkili bir mesaj, hedeflenen kişinin tanıdığı veya güvendiği birinin kendisiyle bir takvim davetini paylaştığı, Google Takvim’den gelen tipik bir davete benzer. Ekip, mesajların görünümlerinin farklılık gösterdiğini, bazılarının tipik Google Takvim bildirimleriyle neredeyse aynı göründüğünü, “diğerlerinin ise özel bir biçim kullandığını” yazdı.
Daha önce de belirtildiği gibi, e-postalar, e-posta tarama araçlarını atlatmak amacıyla Google Formlar veya Google Çizimler’e bağlantı içeren bir takvim bağlantısı veya dosyası (.ics) içerir. Bir kullanıcı yemi yuttuktan sonra, kendisinden başka bir bağlantıya tıklaması istenir; bu da genellikle bir bağlantı olarak gizlenir. sahte reCAPTCHA Gönderiye göre onları “kripto para birimi madenciliği açılış sayfasına veya bitcoin destek sayfasına benzeyen” bir sayfaya yönlendiren “veya destek düğmesi”.
Ekip, “Bu sayfalar aslında mali dolandırıcılık amaçlıdır” diye yazdı. “Kullanıcılar söz konusu sayfaya ulaştıktan sonra sahte bir kimlik doğrulama sürecini tamamlamaları, kişisel bilgilerini girmeleri ve sonunda ödeme ayrıntılarını vermeleri isteniyor.”
“Google” Kimlik Avı Siber Kurbanı Olmaktan Nasıl Kaçınılır?
Check Point, kampanyayla ilgili olarak Google ile temasa geçti ve Google Takvim kullanıcılarının bu tür e-postalara karşı savunmaya yardımcı olmak için uygulamada “bilinen gönderenler” ayarını etkinleştirmelerini önerdi. kimlik avı. Şirket, bu ayarın kullanıcıyı kişi listesinde olmayan birinden veya geçmişte e-posta adresinden etkileşimde bulunmadığı birinden davet aldığında uyaracağını söyledi.
Kurumsal savunucular, kimlikleri tespit edip engelleyebilecek gelişmiş e-posta güvenlik çözümleri kullanabilir. Kimlik avı saldırıları Check Point ekibi, ek tarama, URL itibar kontrolleri ve yapay zekaya dayalı anormallik algılama dahil olmak üzere güvenilir platformları manipüle eden bir yazılım olduğunu yazdı.
Kuruluşlar ayrıca üçüncü taraf Google Apps kullanımını izlemeli ve güvenlik ekiplerini üçüncü taraf uygulamalardaki şüpheli etkinlikleri özel olarak tespit edip uyarabilen siber güvenlik araçlarını kullanmalıdır.
Son olarak, kimlik avı savunmasını önerirken kuruluşlara sıklıkla bahsedilen iki tavsiye: çok faktörlü kimlik doğrulama (MFA) iş hesaplarında ve çalışanların karmaşık kimlik avı taktikleri konusunda eğitilmesinde – bu gibi durumlarda güvenliği desteklemek için de işe yarayabilir.