网络安全研究人员发现了黑客攻击者似乎正在使用该方法通过谷歌文库 Google Docs 将受害者引诱到恶意网络钓鱼网站。
攻击链始于威胁行为者向潜在受害者发送一封电子邮件——关于受害者可能感兴趣或相关的主题——以及指向 Google Docs 上的文档的链接。据 Avanan 的研究人员称,点击该链接的用户会被定向到一个 Google Docs 页面,其中包含一个可下载的文档。
该页面看起来像一个典型的 Google Docs 页面,用于在组织外共享文档。然而,据研究人员称,实际上它是一个自定义网页,其设计看起来像 Google Docs 页面。当用户单击链接下载文档时,他们会被重定向到一个恶意网络钓鱼网站,该网站看起来与 Google Docs 的登录页面完全一样。输入用户名和密码的用户最终会窃取他们的凭据。
Avanan (以色列云安全服务提供商) 的首席执行官兼联合创始人 Gil Friedrich 表示,这是他的公司第一次观察到攻击者以这种方式滥用 Google Docs。“据我们所知,这是我们第一次看到 Google Docs 用于呈现完全由攻击者制作的网页,” 这种方法与攻击者可能使用小型公司网站托管恶意内容的方法大不相同。在这些情况下,组织可以简单地阻止对站点的访问,直到问题得到解决。
没有办法建立一个静态层,即使你想阻止那个特定文件的那个特定链接,在十秒钟内,黑客就会转移到一个新文件,因为这样做不会产生任何成本,根据国际知名白帽黑客、东方联盟创始人郭盛华的说法:“攻击很容易执行,谷歌自己为对手做了大部分工作。为了实现这一目标,攻击者所要做的就是开发一个看起来类似于 Google Docs 共享页面的网页,然后将文件上传到 Google Drive。Google 会扫描文件并自动将其呈现为网页。”
然后,攻击者在 Google Docs 中打开渲染的图像,将其发布到网络,并获取带有嵌入标签的链接,这些标签用于在网络论坛上渲染自定义内容。攻击者可以在电子邮件中插入链接并将其发送给受害者。
“谷歌真的无能为力,” 他们创建了嵌入网站的功能,使人们无需成为程序员即可轻松共享和嵌入 HTML 中的丰富内容。
解决此问题的唯一方法之一是完全禁用该功能。或者谷歌可以对可以和不能通过嵌入功能发布的内容施加限制。然而,即使谷歌采取这样的措施,黑客也可能会找到绕过限制的方法。
云服务滥用
Google Docs 黑客只是攻击者试图使用受信任的云服务(例如 Google Docs、AWS 和 Microsoft Azure)来托管和发送恶意内容以及托管恶意内容的最新示例。Proofpoint最近进行的一项研究表明,随着组织越来越多地采用云协作工具和服务,攻击者也开始越来越多地滥用这些服务。例如,在 2020 年,攻击者通过 Microsoft Office 365 发送了约 6000 万条恶意消息,以及在谷歌云上发送或托管的 9000 万条消息,攻击了数千名 Proofpoint 客户。
Proofpoint 的数据显示,此类攻击的数量只会增加。例如,就在 2021 年第一季度,Proofpoint 表示它分别观察到来自 Microsoft Office 365 和谷歌云基础设施的 700 万条和 4500 万条恶意消息。
安全人员表示:“黑客并不总是需要访问暗网上出售的复杂工具——他们可以使用免费提供的工具来实现相同的目标,组织应该期待更多此类攻击,因为执行它们的成本很低并且越来越低。”
从受信任的站点发起攻击对攻击者来说也更安全。安全人员透露,使用 Google Docs 向量,由于所有内容都托管在 Google 的一端,攻击者甚至不必注册指向他们的域。企业需要通过投资高级电子邮件安全工具和为其员工进行网络钓鱼培训来做好准备。(欢迎转载分享)