Những hackers tìm ra cách mới để khai thác Google Documents để đi lừa đảo.



Chiến thuật tiếp tục xu hướng gần đây của những hacker là sử dụng các dịch vụ đám mây tin cậy để gửi và lưu trữ nội dung độc hại.

Các nhà nghiên cứu đã phát hiện ra những gì họ mô tả là một phương pháp mới mà những hacker dường như đang sử dụng để thu hút nạn nhân đến các trang web lừa đảo độc hại thông qua Google Docs.

Chuỗi tấn công bắt đầu bằng việc kẻ đe dọa gửi cho các nạn nhân tiềm năng một email — về một chủ đề mà họ có thể quan tâm hoặc có liên quan đến— kèm theo một liên kết đến một tài liệu trên Google Documents. Theo các nhà nghiên cứu tại Avanan, người dùng theo liên kết sẽ được dẫn đến trang Google Documents với những gì có vẻ giống như một tài liệu có thể tải xuống.

Trang này trông giống như một trang Google Tài liệu điển hình để chia sẻ tài liệu bên ngoài tổ chức. Tuy nhiên, trên thực tế, nó là một trang web tùy chỉnh được thiết kế để trông giống như một trang Google Tài liệu, theo các nhà nghiên cứu. Khi người dùng nhấp vào liên kết để tải xuống tài liệu, họ được chuyển hướng đến một trang web lừa đảo và độc hại trông giống hệt như trang đăng nhập dành cho Google Tài liệu. Những người dùng nhập tên tài khoản và mật khẩu thì, thì sau đó sẽ bị đánh cắp đi thông tin đăng nhập.

How to Identify a Phishing Email and How To Prevent An Attack

Gil Friedrich, Giám đốc điều hành và Đồng sáng lập của Avanan, cho biết đây là lần đầu tiên công ty của ông quan sát thấy những hacker lạm dụng Google Documents theo cách này. Friedrich nói: “Đây là lần đầu tiên — theo hiểu biết của chúng tôi — chúng tôi thấy Google Tài liệu được sử dụng để chuyển thành một trang Web hoàn toàn do bọn chúng tạo ra.

Cách tiếp cận rất khác so với khi hacker có thể sử dụng trang web của một công ty nhỏ để lưu trữ nội dung độc hại. Trong những trường hợp đó, một tổ chức có thể chỉ cần chặn quyền truy cập vào trang web cho đến khi vấn đề được giải quyết.

Friedrich nói: “Bạn không thể chặn Google. “Không có cách nào để thiết lập một lớp tĩnh và ngay cả khi bạn muốn chặn liên kết cụ thể đó cho tệp cụ thể đó, trong vòng mười giây, hacker sẽ chuyển sang một tệp mới”, vì việc này không tốn mấy là thười gian đối với chúng.

Theo Avanan, cuộc tấn công được thực hiện dễ dàng, với bản thân Google thực hiện hầu hết công việc cho chúng. Để giải quyết vấn đề này, tất cả những gì hackers phải làm là phát triển một trang Web trông tương tự như trang chia sẻ Google Tài liệu và tải tệp lên Google Drive. Google quét tệp và tự động hiển thị tệp dưới dạng trang Web.

Sau đó, hackers mở hình ảnh được kết xuất trong Google Documents, đưa nó lên Web và lấy một liên kết với các thẻ nhúng dùng để hiển thị nội dung tùy chỉnh trên các diễn đàn Web. Những hackers có thể chèn liên kết vào email và gửi cho nạn nhân.

10 Ways Identity Thieves Can Get Your Information

Friedrich nói: “Không có gì Google thực sự có thể làm được. Ông nói: “Họ đã tạo ra tính năng nhúng trang web để mọi người dễ dàng chia sẻ và nhúng nội dung phong phú vào HTML mà không cần phải là lập trình viên.

Một trong những cách duy nhất để giải quyết vấn đề này là tắt hoàn toàn tính năng này. Hoặc Google có thể áp đặt các giới hạn đối với những gì có thể và không thể được xuất bản thông qua tính năng nhúng. Tuy nhiên, ngay cả khi Google thực hiện một biện pháp như vậy, các hacker có thể sẽ tìm ra cách giải quyết các hạn chế, Friedrich nói.

Lạm dụng dịch vụ đám mây.

Even Ethical Hackers Abuse Cloud Services - BankInfoSecurity

Vụ tấn công Google Tài liệu chỉ là ví dụ mới nhất về những kẻ tấn công cố gắng sử dụng các dịch vụ đám mây đáng tin cậy như Google Tài liệu, AWS và Microsoft Azure để lưu trữ và gửi nội dung độc hại. Một nghiên cứu gần đây mà Proofpoint đã thực hiện cho thấy rằng với việc các tổ chức ngày càng áp dụng các công cụ và dịch vụ cộng tác đám mây, thì những hackers cũng bắt đầu lạm dụng các dịch vụ này ngày càng nhiều. Ví dụ, vào năm 2020, chúng đã nhắm mục tiêu hàng nghìn khách hàng của Proofpoint với khoảng 60 triệu tin nhắn độc hại qua Microsoft Office 365 và 90 triệu tin nhắn được gửi hoặc lưu trữ trên đám mây của Google.

Dữ liệu của Proofpoint cho thấy rằng các cuộc tấn công như vậy đang gia tăng về số lượng. Chẳng hạn, trong quý 1 năm 2021, Proofpoint cho biết họ đã chứng kiến thấy lần lượt 7 triệu và 45 triệu tin nhắn độc hại từ Microsoft Office 365 và cơ sở hạ tầng đám mây của Google.

Friedrich nói: “Hacker không phải lúc nào cũng cần quyền truy cập vào các công cụ phức tạp được bán trên Dark Web — có thể sử dụng các công cụ có sẵn và hoàn toàn miễn phí để đạt được những mục đích tương tự. Các tổ chức nên cẩn trọng hơn với chúng vì nhiều cuộc tấn công như vậy hơn. Số tiền bỏ ra để thực hiện việc tấn công thấp và ngày càng thấp hơn, ông nói.

Phát động các cuộc tấn công từ trang web đáng tin cậy cũng an toàn hơn cho hackers. Với  Google Docs như một vector, vì mọi thứ đều được lưu trữ trên Google, những hackers thậm chí không phải đăng ký các miền chỉ hướng thẳng đến chúng, ông nói. “Doanh nghiệp cần chuẩn bị bằng cách đầu tư vào các công cụ bảo mật email tiên tiến và đào tạo để nhận biết về lừa đảo cho nhân viên của mình.”

nguồn: beta.darkreading.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật