Hedef Odaklı Kimlik Avı İçin Kullanılan Google Dokümanlar Yorum Özelliği
Aralık 2021'de, tehdit aktörlerinin güvenilir görünen e-postalar göndermek için Google Dokümanlar'ın yorum özelliğini kötüye kullanmasıyla kimlik avı saldırılarında yeni bir eğilim ortaya çıktı.
Google Dokümanlar, uzaktan çalışan veya ortak çalışan birçok çalışan tarafından kullanılır, bu nedenle bu e-postaların alıcılarının çoğu bu bildirimlere aşinadır.
Google'ın kendisi bu e-postaları göndermesi için "kandırıldığı" için, e-posta güvenlik araçlarının bunları potansiyel olarak riskli olarak etiketleme olasılığı neredeyse sıfırdır.
Bu hile, geçen yıl Ekim ayından bu yana sınırlı bir şekilde istismar ediliyor ve Google sorunu hafifletmeye çalışsa da, güvenlik açığını henüz tam olarak kapatmadı.
Bu son kampanya hızla büyüyor ve Avanan'daki tehdit analistleri tarafından, yayınlanmadan önce raporlarını Bleeping Computer ile paylaşan tehdit analistleri tarafından aktif olarak izleniyor.
Saldırı nasıl çalışır?
Bilgisayar korsanları, bir Google Dokümanı oluşturmak için Google hesaplarını kullanır ve ardından hedeften @ ile bahsetmek için yorum yapar.
Google daha sonra hedefin gelen kutusuna başka bir kullanıcının bir belge hakkında yorum yaptığını ve onlardan bahsettiğini bildiren bir bildirim e-postası gönderir.
E-postadaki yorum, kötü amaçlı yazılımların web sayfalarını veya kimlik avı sitelerini bırakmasına yol açan kötü amaçlı bağlantılar içerebilir, bu nedenle yerinde herhangi bir kontrol/filtreleme mekanizması olmadığı açıktır.
İkincisi, tehdit aktörünün e-postası bildirimde gösterilmez ve alıcı yalnızca bir ad görür. Bu, kimliğe bürünmeyi çok kolaylaştırır ve aynı zamanda oyuncular için başarı şansını artırır.
Aynı teknik Google Slayt yorumlarında da işe yarıyor ve Avanan, aktörlerin bunu Google Workspace hizmetinin çeşitli öğelerinden yararlandığını gördüğünü bildirdi.
Daha da kötüsü, saldırganların belgeyi hedefleriyle paylaşmaları gerekmez, çünkü onlardan bahsetmek kötü niyetli bildirimler göndermek için yeterlidir.
Vahşi doğada saldırılar ve koruma önlemleri
Avanan'a göre, bu saldırıların arkasındaki tehdit aktörleri Outlook kullanıcılarını destekliyor gibi görünüyor, ancak hedef demografi bunlarla sınırlı değil.
Devam eden bu hedef odaklı kimlik avı kampanyası 100'den fazla Google hesabını kullanıyor ve şimdiden 30 kuruluşta 500 gelen kutusuna ulaştı.
Bu ve benzeri kampanyaların riskini azaltmanın tek yolu:
- Gönderen e-postanın iş arkadaşınızın (veya hak talebinde bulunulan kişinin) e-postası ile eşleştiğini onaylayın
- E-posta yoluyla gelen ve yorumlara yerleştirilmiş bağlantılara tıklamaktan kaçının
- Google Workspace'te daha katı dosya paylaşım kuralları uygulayan ek güvenlik önlemleri uygulayın
- Kimlik avı URL korumasına sahip güvenilir bir satıcının internet güvenlik çözümünü kullanın
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
