提防騙徒濫用Google Drive發送惡意連結

Google Drive 為用戶帶來不少方便,但近日卻被騙徒利用,向數以十萬計的用戶發送通知,誘騙點擊惡意連結,如果掉入中獎的陷阱,便有可能失去網上銀行的登入資料。

分享 Google Doc 通知變播毒連結
根據海外傳媒報導,騙徒利用了 Google Drive 合法的協作功能,讓用戶製作和推送通知或電郵,邀請其他人分享 Google Doc,而攻擊者就利用了這個功能對流動裝置用戶傳送 Google Drive 通知,表面上是邀請他們一同使用文件的權限,其實是惡意連結。整個過程由於訊息發出自 Google 的 no-reply 電郵,令它看起來更加真實,也有一些攻擊通過電郵發送,而在電郵訊息中也放入惡意連結。

毒連結通往惡意網站
這一波詐騙攻擊數以十萬名 Google 用戶,據報導通知以俄語或不正確的英語發送,發出的 Google Drive 通知訊息有不同的誘餌,部份訛稱是 Google Drive 的個人通知,例如「Personal Notification No 8482」通知受害者有一段時間沒有登入帳號,威脅不在 24 小時內透過 (惡意) 連結登入便會刪除帳號。而「Personal Notification No 0684」則偽裝成重要通知,訛稱有金錢交易,可以從提供的 (惡意) 連結中查看他們的個人帳號。

而另一稱則是平平無奇的中獎詐騙,訛稱是收訊人是「Chrome Search contest 2020」中第 50 億個搜尋者而中獎,這些連結會把受害者帶到不同的詐騙網站,包括點擊連結抽獎,或查看自己的銀行帳號。有收到訊息的用戶在 Twitter 中分享事件,而唯一讓他察覺到是騙局的原因是他自己並不預期會有分享的文件。而 Google 的發言人告訴外國傳媒,公司正準備新的保安措施去偵測 Google Drive 濫發。

因為疫情關係全球很多地方採取 Work Form Home 的措施,攻擊者也應對這種大環境針對協作和遙距工作工具,例如 Google 提供的服務,早在今年 5 月研究人員警告一系列的釣魚活動採用了 Google Firebase 儲存連結,借 Google 的聲譽愚弄受害者和通過 secure email gateway。另外,10 月也有研究人員警告有釣魚活動偽裝成 Microsoft Teams 的自動訊息,實際上是騙取 Microsoft 365 (前稱 Office 365) 的登入資料。用戶在面對這類型攻擊時,只可以靠自己提高警剔,不竟騙徒無處不在,而對網絡釣魚手法加深認識也有助分辨通知的真偽。

資料來源:Threat Post