Bezpečnostní experti upozorňujú firmy na novú phishingovú hrozbu, ktorá cieli na získavanie prístupových údajov prostredníctvom platformy Google Apps Script. Podľa najnovšej analýzy spoločnosti Cofense tento útok v poslednom období výrazne narastá a kvôli zneužitiu dôveryhodnej služby Googlu dokáže efektívne obchádzať bežné ochranné mechanizmy firiem.
Útok zneužíva dôveryhodnosť služieb Googlu
Podvod prebieha štandardným scenárom. Zamestnanec najprv dostane e-mail, ktorý pôsobí ako pravá správa od vedúceho pracovníka spoločnosti. E-mail obsahuje žiadosť o spracovanie alebo zaplatenie údajnej faktúry cez priložený odkaz. Odborníci však upozorňujú, že hoci taktika phishingu je typická, útočníci tentoraz nepoužívajú falošné domény, ale legitimné adresy z prostredia Google.
E-mail obsahuje odkazy smerujúce na stránky vytvorené na platforme Google Apps Script. Ide o oficiálnu cloudovú službu, ktorá umožňuje používateľom automatizovať procesy a vytvárať dynamický obsah v rámci aplikácií, ako sú Gmail či Google Disk. Keďže je služba často využívaná bežnými používateľmi, štandardné antispamové filtre a antivírusové programy odkazy nerozpoznajú ako podozrivé.
Po kliknutí na odkaz v podvodnej správe sa zamestnancovi zobrazí falošné, avšak dôveryhodne pôsobiace prihlasovacie rozhranie. Útočníci sa nesnažia imitovať konkrétnu známu službu, ale využívajú prirodzené očakávanie zamestnancov, že zadávajú údaje cez Single Sign-On (SSO), čo býva štandardná praktika vo väčšine moderných firiem. Zadané údaje sú tak ihneď presmerované k hackerom.
Ukradnuté údaje môžu byť využité bez vedomia obete
Akonáhle obeť zadá svoje prihlasovacie meno a heslo do falošného formulára, útočníci ich okamžite získajú. Aby bol útok ešte nenápadnejší, zamestnanec je následne automaticky presmerovaný na pravú prihlasovaciu stránku spoločnosti Microsoft. Táto taktika minimalizuje podozrenie zo strany obete a hackerom poskytuje dostatok času, aby mohli ukradnuté údaje efektívne zneužiť.
Podľa odborníkov zo spoločnosti Cofense spočíva najväčšia nebezpečnosť útoku v tom, že sa uskutočňuje prostredníctvom spoľahlivých služieb Googlu. Firmy tieto legitímne URL odkazy bežne neblokujú a bezpečnostné filtre ich len zriedkavo označujú za rizikové.
Odborníci radia prísnejšiu bezpečnostnú politiku a školenia
Aby podniky minimalizovali toto riziko, bezpečnostní experti odporúčajú prehodnotiť aktuálne nastavenia ochranných systémov, ktoré kontrolujú e-mailovú komunikáciu. Jedným z účinných riešení môže byť dôkladnejšia kontrola alebo úplné blokovanie URL adries generovaných cez Google Apps Script. V prípade, že blokovanie nie je možné, mali by tieto adresy byť označené ako potenciálne rizikové a podliehať prísnejšiemu monitorovaniu.
Ďalším odporúčaním je dôsledná edukácia zamestnancov v oblasti kyberbezpečnosti. Spoločnosti by mali realizovať pravidelné vzdelávacie programy a simulované phishingové cvičenia, ktoré pomôžu zamestnancom lepšie rozpoznať podozrivé správy a vyhnúť sa chybám.
Neprehliadnite
Experti tiež zdôrazňujú význam implementácie nových technológií so schopnosťou automaticky detegovať škodlivý obsah. Pokročilé systémy využívajúce umelú inteligenciu dokážu rozpoznať nezvyčajné vzorce komunikácie a správania používateľov, čím výrazne zvyšujú odolnosť firiem voči phishingu a podobným hrozbám v budúcnosti.
Nárast phishingových podvodov využívajúcich legitímne cloudové riešenia by mal podľa odborníkov spoločnosti donútiť, aby svoje bezpečnostné politiky aktualizovali čo najskôr. Aktívny prístup k tejto problematike je v súčasnosti nevyhnutným krokom na ochranu citlivých údajov a ochranu pred finančnými stratami.
