Google попередила про нову фішингову атаку, в якій зловмисники надсилають листи зі справжньої адреси Google та виманюють облікові дані через підроблені сторінки входу. Про це пише американський Forbes. Розповідаємо деталі.
Що сталося
Компанія Google попередила користувачів про нову хвилю фішингових атак, в яких зловмисники надсилають шкідливі листи зі справжньої адреси Google. У компанії наголошують: це не злам інфраструктури Google, а зловживання внутрішнім інструментом автоматизації Google Cloud.
Йдеться про листи, що надходять з адреси: noreply-application-integration@google.com — вона виглядає легітимною, проходить стандартні перевірки та може обходити поштові фільтри.
За даними компанії Check Point, зловмисники використовували сервіс Google Cloud Application Integration, щоб розсилати електронні листи, які виглядають як автоматичні повідомлення від Google. Найчастіше приманкою є:
- голосове повідомлення;
- звичайне вкладення;
- повідомлення без явних ознак небезпеки.
Якщо користувач переходить за посиланням у листі, його перенаправляють на сторінку, розміщену на storage.cloud.google.com, що створює додаткове відчуття безпеки. Далі жертва потрапляє на фальшиву сторінку перевірки CAPTCHA, яка блокує автоматичні системи безпеки, але пропускає реальних людей.
Після цього користувача перенаправляють на підроблену сторінку входу Microsoft, розміщену на сторонньому домені. Якщо ввести там логін і пароль, облікові дані одразу потрапляють до зловмисників — на цьому фішингова атака завершується.
У Google заявили, що заблокували кілька таких кампаній і вже впровадили додаткові механізми захисту. Водночас компанія закликає користувачів бути особливо уважними, адже зловмисники дедалі частіше маскують атаки під повідомлення від перевірених брендів.