Hedef Odaklı Kimlik Avı İçin Kullanılan Google Dokümanlar Yorum Özelliği

Aralık 2021'de, tehdit aktörlerinin güvenilir görünen e-postalar göndermek için Google Dokümanlar'ın yorum özelliğini kötüye kullanmasıyla kimlik avı saldırılarında yeni bir eğilim ortaya çıktı.

Google Dokümanlar, uzaktan çalışan veya ortak çalışan birçok çalışan tarafından kullanılır, bu nedenle bu e-postaların alıcılarının çoğu bu bildirimlere aşinadır.

Google'ın kendisi bu e-postaları göndermesi için "kandırıldığı" için, e-posta güvenlik araçlarının bunları potansiyel olarak riskli olarak etiketleme olasılığı neredeyse sıfırdır.

Bu hile, geçen yıl Ekim ayından bu yana sınırlı bir şekilde istismar ediliyor ve Google sorunu hafifletmeye çalışsa da, güvenlik açığını henüz tam olarak kapatmadı.

Bu son kampanya hızla büyüyor ve Avanan'daki tehdit analistleri tarafından, yayınlanmadan önce raporlarını Bleeping Computer ile paylaşan tehdit analistleri tarafından aktif olarak izleniyor.

Saldırı nasıl çalışır?

Bilgisayar korsanları, bir Google Dokümanı oluşturmak için Google hesaplarını kullanır ve ardından hedeften @ ile bahsetmek için yorum yapar.

Google daha sonra hedefin gelen kutusuna başka bir kullanıcının bir belge hakkında yorum yaptığını ve onlardan bahsettiğini bildiren bir bildirim e-postası gönderir.

google docs phishing
Google tarafından oluşturulan ve gönderilen riskli e-posta

E-postadaki yorum, kötü amaçlı yazılımların web sayfalarını veya kimlik avı sitelerini bırakmasına yol açan kötü amaçlı bağlantılar içerebilir, bu nedenle yerinde herhangi bir kontrol/filtreleme mekanizması olmadığı açıktır.

İkincisi, tehdit aktörünün e-postası bildirimde gösterilmez ve alıcı yalnızca bir ad görür. Bu, kimliğe bürünmeyi çok kolaylaştırır ve aynı zamanda oyuncular için başarı şansını artırır.

google slides phishing
Aynı tekniği Google Slaytlar'da kullanmak

Aynı teknik Google Slayt yorumlarında da işe yarıyor ve Avanan, aktörlerin bunu Google Workspace hizmetinin çeşitli öğelerinden yararlandığını gördüğünü bildirdi.

Daha da kötüsü, saldırganların belgeyi hedefleriyle paylaşmaları gerekmez, çünkü onlardan bahsetmek kötü niyetli bildirimler göndermek için yeterlidir.

Vahşi doğada saldırılar ve koruma önlemleri

Avanan'a göre, bu saldırıların arkasındaki tehdit aktörleri Outlook kullanıcılarını destekliyor gibi görünüyor, ancak hedef demografi bunlarla sınırlı değil.

Devam eden bu hedef odaklı kimlik avı kampanyası 100'den fazla Google hesabını kullanıyor ve şimdiden 30 kuruluşta 500 gelen kutusuna ulaştı.

Bu ve benzeri kampanyaların riskini azaltmanın tek yolu:

  • Gönderen e-postanın iş arkadaşınızın (veya hak talebinde bulunulan kişinin) e-postası ile eşleştiğini onaylayın
  • E-posta yoluyla gelen ve yorumlara yerleştirilmiş bağlantılara tıklamaktan kaçının
  • Google Workspace'te daha katı dosya paylaşım kuralları uygulayan ek güvenlik önlemleri uygulayın
  • Kimlik avı URL korumasına sahip güvenilir bir satıcının internet güvenlik çözümünü kullanın

Kaynak: https://www.bleepingcomputer.com/news/security/google-docs-commenting-feature-exploited-for-spear-phishing/


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

Hedef Odaklı Kimlik Avı İçin Kullanılan Google Dokümanlar Yorum Özelliği