Warszawa, 4 grudnia 2023 – Eksperci Cisco Talos, jednostki zajmującej się bezpieczeństwem globalnych sieci komputerowych, odkryli nową formę ataku przestępców internetowych. Wykorzystują oni popularny kreator formularzy online Google Forms do rozprzestrzeniania wiadomości zawierających niebezpieczne linki.
Wiadomości od Google nie takie bezpieczne
Funkcje Google Forms już od wielu lat są nadużywane do przeprowadzania ataków ze złośliwym oprogramowaniem. Tym razem eksperci Cisco Talos wykryli nową metodę cyberprzestępców. Jak wskazują eksperci firmy, spamerzy odkryli, że mogą utworzyć nowy quiz w Formularzach Google, odpowiedzieć na quiz używając dowolnego adresu e-mail, a następnie wykorzystać funkcję “Release Scores”, aby dostarczyć ofierze zainfekowaną wiadomość. Ponieważ wiadomości te pochodzą bezpośrednio z serwera Google, omijają system zabezpieczeń i trafiają do skrzynki odbiorczej ofiary.
„Cisco Talos zbadało niedawną kampanię spamową, w której nagłówki tematów zawierały tekst “Score released:”. Podczas naszego dochodzenia szybko zdaliśmy sobie sprawę, że wiadomości te były generowane za pomocą Google Forms. Przestępcy wykorzystywali opcję udostępniania wyników quizu po ich ręcznym sprawdzeniu, co wymuszało gromadzenie adresów e-mail w formularzu. Następnie, w ustawieniach odpowiedzi można było zaznaczyć opcję pozwalającą na użycie dowolnego adresu do wypełnienia quizu. Spamer wypełniał taki formularz wykorzystując do tego e-mail ofiary. Funkcja „Release Scores” pozwalała wysłać jej dowolnie dostosowywaną przez atakującego wiadomość z linkiem przekierowującym do zainfekowanej strony internetowej. Ze względu na to, że wiadomość ta generowana była przez serwer Google, trafiała ona zazwyczaj do skrzynki odbiorczej ofiary” – powiedział Jaeson Schultz z Cisco Talos.
„W Twoim portfelu znajdują się bitcoiny”
Oszuści internetowi jednak szybko zdali sobie sprawę, że metodę tę można wykorzystać do dużo bardziej zaawansowanych ataków. Eksperci Cisco Talos odkryli misternie zaplanowaną intrygę, w której ofiara dowiadywała się o posiadaniu ponad 1,3 Bitcoina na swoim koncie w wyniku “automatycznego wydobywania Bitcoinów w chmurze”, co według strony jest warte ponad 46 000 USD. Po licznych przekierowaniach, a także przekazaniu atakującemu swoich danych osobowych, ofiara dowiadywała się, że aby odebrać Bitcoiny, musi uiścić opłatę w wysokości 64 USD. Pieniądze oczywiście miały trafić na konto atakującego.
„Ilość pracy niezbędnej do przeprowadzenia takiego ataku, w połączeniu z niezwykłą dbałością o szczegóły i metodami inżynierii społecznej pokazują, jak daleko posuną się cyberprzestępcy, aby zdobyć od ofiary nawet niewielką kwotę pieniędzy. Jednak jak to zwykle bywa, okazje, na które mają się nabrać ofiary, zazwyczaj brzmią zbyt dobrze, aby mogły być prawdziwe” – podsumowuje ekspert Cisco Talos.
Materiały dodatkowe
Artykuł na blogu Cisco Talos: Spammers abuse Google Forms’ quiz to deliver scams