Phishing-aanvallen zijn niet nieuw voor ons. Dit zijn cyberzwendel waarbij aanvallers zich voordoen als vertrouwde entiteiten via e-mails, sms-berichten of oproepen om gebruikers te misleiden om gevoelige gegevens zoals wachtwoorden, creditcardgegevens en andere gegevens vrij te geven. In één van die gevallen werden vertrouwde Google-services opnieuw het middelpunt van een phishing-zwendelcampagne. Het verleidt gebruikers om op kwaadaardige links te klikken en hun inloggegevens weg te geven.
Nieuwe phishing-zwendelcampagne imiteert vertrouwde Google-services
In een nieuw rapport onthullen cybersecurityonderzoekers van Check Point dat oplichters in een tijdsbestek van twee weken bijna 9.400 e-mails hebben verzonden naar ongeveer 3.200 bedrijven. Al deze berichten zijn naar verluidt verzonden vanaf het e-mailaccount “(email protected).” Dit betekent dat de aanvallers misbruik maakten van de integratie van Google Cloud-applicaties.
Voor degenen die het niet weten: dit is een beheerde Google Cloud-service die applicaties, API’s en gegevensbronnen met elkaar verbindt zonder dat er aangepaste code hoeft te worden geschreven. Hierdoor kunnen organisaties workflows tussen cloudservices, SaaS-apps en interne systemen automatiseren met behulp van vooraf gebouwde connectoren, triggers en acties. E-mails die via de integratie van Google Cloud-applicaties worden gegenereerd, zijn afkomstig van de infrastructuur en domeinen die eigendom zijn van Google.
Bij phishing-aanvallen kunnen bedreigingsactoren een Google Cloud-project creëren of compromitteren en een integratieworkflow configureren die e-mails verzendt via Gmail API’s of andere verbonden e-mailservices. Simpel gezegd is dit eerder misbruik dan een inbreuk op de infrastructuur van Google.
Het merendeel van de slachtoffers bevond zich in de VS
Om de e-mails geloofwaardiger te maken, zorgden de aanvallers er blijkbaar voor dat de berichten de stijl, taal en zelfs opmaak van Google volgden. Deze e-mails lokten gebruikers met openstaande voicemailberichten of meldingen over het ontvangen van een document (voorbeeld van echte phishing-e-mails hieronder). De links in deze e-mails leiden naar storage.cloud.google.com, een vertrouwde Google Cloud-service. Vervolgens wordt omgeleid naar googleusercontent.com, waar gebruikers een nep-CAPTCHA moeten doorgeven die is gebouwd om beveiligingsscanners te blokkeren.
Ten slotte leidt de link door naar een valse Microsoft-inlogpagina, waardoor ze worden verleid hun inloggegevens weg te geven. Aanvallers onderscheppen alle inloggegevens die gebruikers in deze fase invoeren, waardoor de phishingketen wordt voltooid. Naar verluidt bevond de meerderheid van de slachtoffers zich in de VS: 48,6%. Ongeveer 19,6% van hen werkte in de productie/industrie, 18,9% in de technologie/SaaS en 14,8% in de financiële/banksector/verzekeringen. Na de VS waren dat Azië-Pacific (20,7%) en Europa (19,8%).
Voor wat het waard is: Google vertelde Check Point dat “verschillende phishing-campagnes” die misbruik maakten van de integratie van Google Cloud-applicaties al waren geblokkeerd. “Belangrijk is dat deze activiteit het gevolg was van misbruik van een tool voor workflowautomatisering en niet van een compromis van de infrastructuur van Google. Hoewel we beveiligingen hebben geïmplementeerd om gebruikers tegen deze specifieke aanval te beschermen, moedigen we aanhoudende voorzichtigheid aan, aangezien kwaadwillende actoren vaak proberen vertrouwde merken te vervalsen. Wij nemen aanvullende maatregelen om verder misbruik te voorkomen”, zei de technologiegigant naar verluidt.
