Από τον Jeremy Fuchs, ερευνητή/αναλυτή ασφάλειας στον κυβερνοχώρο στην Check Point Software
Μια αναπτυσσόμενη επίθεση που περιλαμβάνει το Google Looker Studio κάνει τον γύρο του κόσμου. Τις τελευταίες εβδομάδες, έχουμε δει πάνω από εκατό από αυτές τις επιθέσεις.
Το Google Looker Studio είναι ένα εργαλείο που μετατρέπει πληροφορίες – παρουσιάσεις διαφανειών, υπολογιστικά φύλλα κ.λπ. – σε οπτικοποιημένα δεδομένα, όπως γραφήματα και γραφήματα.
Οι χάκερ το χρησιμοποιούν για να δημιουργήσουν ψεύτικες σελίδες κρυπτογράφησης που έχουν σχεδιαστεί για να κλέβουν χρήματα και διαπιστευτήρια.
Είναι ένας άλλος τρόπος, με τον οποίο οι χάκερ χρησιμοποιούν νόμιμες υπηρεσίες για αυτό που ονομάζουμε επιθέσεις BEC 3.0.
Ακολούθως, οι ερευνητές του Check Point Harmony email θα συζητήσουν πώς οι χάκερ χρησιμοποιούν την κοινωνική μηχανική με ένα domain Google, σχεδιασμένο να προκαλεί την απάντηση του χρήστη και να παραδίδει διαπιστευτήρια σε ιστότοπους κρυπτογράφησης.
Η Επίθεση
Σε αυτήν την επίθεση, οι χάκερ χρησιμοποιούν το Google Looker Studio για να φιλοξενήσουν ιστότοπους κρυπτογράφησης συγκομιδής διαπιστευτηρίων.
- Vector: Ηλεκτρονικό ταχυδρομείο
- Τύπος: BEC 3.0
- Τεχνικές: Κοινωνική Μηχανική, Συγκομιδή Διαπιστευτηρίων
- Στόχος: Οποιοσδήποτε τελικός χρήστης
Παράδειγμα ηλεκτρονικού ταχυδρομείου
Αυτή η επίθεση ξεκινά με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που προέρχεται απευθείας από την Google, σε αυτήν την περίπτωση το Google Looker Studio.
Οι χάκερ έχουν δημιουργήσει μια αναφορά στο Looker Studio. Το μήνυμα ηλεκτρονικού ταχυδρομείου έχει έναν σύνδεσμο προς την αναφορά, λέγοντας ότι ακολουθώντας αυτές τις επενδυτικές στρατηγικές, χρήστες έχουν δει καλή απόδοση. Για να αποκτήσετε πρόσβαση στο λογαριασμό σας, απλά κάντε κλικ εδώ.
Όταν κάνετε κλικ, θα ανακατευθυνθείτε σε αυτήν τη σελίδα. Και πάλι, είναι μια νόμιμη σελίδα Google Looker.
Εδώ, οι χάκερ φιλοξένησαν ένα Google Slideshow, λέγοντας πώς μπορείτε να διεκδικήσετε περισσότερα Bitcoin.
Από εκεί, μεταβαίνει σε μια σελίδα σύνδεσης που έχει σχεδιαστεί για να κλέβει τα διαπιστευτήριά σας.
Αλλά πρώτα, το καθιστούν ακόμα πιο επείγον.
Για να αποθηκεύσετε τον λογαριασμό σας, πρέπει να συνδεθείτε αμέσως.
Στη συνέχεια, φυσικά, κλέβουν τα διαπιστευτήριά σας
Τεχνικές
Στο backend, μπορείτε να δείτε τις υπογραφές που χρησιμοποιεί η Google για να νομιμοποιήσει αυτήν τη σελίδα.
Ας το αναλύσουμε λίγο. Το Sender Policy Framework ή SPF είναι μια μέθοδος ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου που έχει σχεδιαστεί για να αποτρέπει την πλαστογράφηση ηλεκτρονικού ταχυδρομείου, καθορίζοντας ποιες διευθύνσεις IP ή διακομιστές είναι εξουσιοδοτημένοι να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου για έναν συγκεκριμένο τομέα.
Σε αυτήν την περίπτωση, ο έλεγχος SPF έχει περάσει (spf = pass) επειδή η διεύθυνση IP του αποστολέα (209.85.160.70) αναφέρεται ως εξουσιοδοτημένος αποστολέας για αυτόν τον τομέα: data-studio.bounces.google.com
Στη συνέχεια, υπάρχει το DomainKeys Identified Mail ή DKIM. Είναι ένα άλλο εργαλείο ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου που χρησιμοποιεί κρυπτογραφικές υπογραφές για να επαληθεύσει ότι το περιεχόμενο του email δεν έχει τροποποιηθεί κατά τη μεταφορά και ότι προέρχεται στην πραγματικότητα από τον τομέα που λέει ότι κάνει. Σε αυτήν την περίπτωση, η υπογραφή DKIM έχει περάσει (dkim=pass) και επαληθεύτηκε για το domain google.com
Ακολουθεί ο έλεγχος ταυτότητας, η αναφορά και η συμμόρφωση μηνυμάτων βάσει τομέα ή DMARC. Το DMARC είναι ένα πλαίσιο πολιτικής που βασίζεται τόσο στο SPF όσο και στο DKIM για την περαιτέρω βελτίωση του ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου. Επιτρέπει στους κατόχους domain να καθορίσουν ποιες ενέργειες πρέπει να ληφθούν για τυχόν μηνύματα ηλεκτρονικού ταχυδρομείου που αποτυγχάνουν SPF ή DKIM. Στη συγκεκριμένη περίπτωση, ο έλεγχος DMARC έχει περάσει (dmarc=pass) για τον τομέα google.com και δεν επιβάλλεται καμία ενέργεια. Αυτό σημαίνει ότι δεν λαμβάνονται συγκεκριμένα μέτρα για αποτυχημένα μηνύματα ηλεκτρονικού ταχυδρομείου.
Αυτός είναι – μπορούμε να πούμε – ο τρόπος που οι χάκερ αξιοποιούν την εξουσία της Google. Μια υπηρεσία ασφάλειας ηλεκτρονικού ταχυδρομείου θα εξετάσει όλους αυτούς τους παράγοντες και θα είναι σχεδόν σίγουρη ότι δεν πρόκειται για μήνυμα ηλεκτρονικού “ψαρέματος” και ότι προέρχεται από την Google. Επειδή η επίθεση έχει τόσο βαθιά θεμέλια, όλοι οι τυπικοί έλεγχοι θα περάσουν με άνεση.
Τώρα, αυτό απαιτεί συνεργασία από την πλευρά του χρήστη, να περάσει από όλους τους συνδέσμους και να εισαγάγει τις απαιτούμενες πληροφορίες. Δεν θα το κάνουν όλοι οι χρήστες. Αλλά όπως λέμε συχνά, χρειάζεται μόνο μια επιτυχημένη επίθεση.
Οι ερευνητές της Check Point επικοινώνησαν με την Google για να τους ενημερώσουν για αυτήν την καμπάνια στις 22 Αυγούστου.
Βέλτιστες πρακτικές: καθοδήγηση και συστάσεις
Για να προστατευτούν από αυτές τις επιθέσεις, οι επαγγελματίες ασφαλείας μπορούν να κάνουν τα εξής:
- Υιοθετήστε τεχνολογία AI ικανή να αναλύει και να εντοπίζει πολυάριθμους δείκτες ηλεκτρονικού ψαρέματος (phishing) για να αποτρέψετε προληπτικά πολύπλοκες επιθέσεις.
- Υιοθετήστε μια ολοκληρωμένη λύση ασφάλειας που περιλαμβάνει δυνατότητες σάρωσης εγγράφων και αρχείων
- Αναπτύξτε ένα ισχυρό σύστημα προστασίας διευθύνσεων URL που πραγματοποιεί διεξοδικές σαρώσεις και εξομοιώνει ιστοσελίδες για βελτιωμένη ασφάλεια
Ο πελάτης Check Point παραμένει προστατευμένος από τις απειλές που περιγράφονται σε αυτό το ιστολόγιο κατά τη χρήση του Harmony Cloud Email &; Collaboration Security.
Το Harmony Email &; Collaboration παρέχει πλήρη προστασία για το Microsoft 365, το Google Workspace και όλες τις εφαρμογές συνεργασίας και κοινής χρήσης αρχείων. Το Email &; Collaboration έχει σχεδιαστεί ειδικά για περιβάλλοντα email cloud και είναι η ΜΟΝΗ λύση που εμποδίζει, όχι μόνο εντοπίζει ή ανταποκρίνεται σε απειλές, από το να εισέλθουν στα εισερχόμενα.