網絡釣魚活動使用Google Drive繞過Email Gateways

一個高針對性的釣魚活動近日被發現使用 Google Drive 分享文件方式,以繞過 Microsoft email gateway 的偵測,被瞄準的目標為一家能源公司,通過雲端上的文件發送釣魚網站的連結,令收件者更容易掉入釣魚陷阱。

Google Docs 令收件者疏於防範
Google Drive 是由 Google 提供的雲端檔案儲存和同步的服務,讓用戶能夠儲存檔案並且與其他裝置或平台同步,而釣魚活動就是使用 Google 的網上處理工具 Google Docs 作為媒介,發送釣魚網頁的連結。當用戶收到電郵時,會發現該電郵由合法的 Google Drive 發出,但是只有發送者的名字可以偽裝,發送者的電郵地址無法偽裝成真實地址,不過由於電郵由 Google Drive 發出,所以令人容易信以為真。

過期資料露出馬腳
以上的步驟讓攻擊者能利用 Google 的合法服務規避收件者公司 Microsft Exchange Online Protection 的釣魚偵測防護。現實的操作是文件連結到 Google Docs,然後重新導引潛在受害者到釣魚頁,再要求他們輸入資料以存取所謂重要訊息。這種做法以防範,因為讓連結由 Google Drive 分享,如果公司的偵測工具不檢查連重新導引的步驟,就會標誌電郵為非惡意,讓釣魚活動避開其他保安檢查。

幸好在個案中,即使釣魚電郵繞過公司的防護偵測,使用過期的資訊去創建釣魚電郵引致露出馬腳,讓員工發覺他們受到攻擊。此外,偽裝的電郵地址與真正地址不符,也成為揭穿陷阱的關鍵。

使用模板創建釣魚電郵
在一個瞄準中學設施的釣魚活動內,部份釣魚電郵的內容同樣會引起收件者的疑惑,因為電郵的內容是由模板快速產生而成。在電郵打開 Google Docs 文件的連結後會導引至偽裝的登入網頁,要求收件者輸入自己的資料,需該資料其實會立即傳送及收藏到攻擊者的伺服器內。

騙徒更換新誘餌
研究人員在監視釣魚攻擊活動時發現,騙徒使用多種技術從目標身上盜取敏感資料。在 7 月底騙徒仍在使用 WeTransfer 去繞過多個保安方案的 email gateway,而 7 月初則利用假的 eFax 訊息散播銀行木馬和遠端存取木馬惡意程式,6 月則有透過 QR Code 作導引媒介的釣魚活動,可見騙徒轉換誘餌的速度同樣是「一日千里」。

資料來源:Bleeping Computer