4006-555-883

谷歌的免费服务现在是网络钓鱼活动中最好的朋友

发布时间:2020-11-24 17:13:00

  威胁参与者正在滥用谷歌的免费生产力工具和服务来创建令人信服的网络钓鱼活动,窃取您的证书或诱骗您安装恶意软件。



  谷歌提供了大量的免费软件和服务,允许用户创建文档、电子表格、在线表单和免费网站。学生、教师、消费者和企业都可以使用这些工具来轻松地共享文档、进行调查,甚至免费创建站点。

  不幸的是,如果一项服务对我们来说是免费的,那么威胁行为体也可以在他们认为合适的时候滥用它们。


  威胁参与者免费滥用谷歌服务


  在电子邮件安全公司Armorblox的一份新报告中,研究人员展示了威胁参与者是如何利用谷歌的服务创建精心策划的网络钓鱼活动的,这些活动不仅看起来令人信服,而且还可以逃避检测。

  我们将看到的第一个Google工具是名为googleforms的免费表单创建服务,它允许任何人创建免费的在线调查,然后发送给其他用户。

  不过,威胁参与者正在滥用谷歌表单来创建精心设计的表单,试图窃取您的证书,如下面的假冒美国运通账户恢复表。然后威胁参与者可以在以后收集任何提交的信息。


  谷歌表单上的美国运通网络钓鱼表单 来源:Armorblox


  googlefirebase是一个开发平台,用于创建托管在云端的移动和web应用程序。

  威胁参与者正在使用Firebase创建网络钓鱼登录页面,其中可以包括图像、动态内容和流程表单。因为Firebase页面使用https://firebastorage.googleapis.com网址,Armorblox声明他们不会“由于其固有的合法性而被任何安全过滤器阻止”


  使用Google的Firebase服务创建的网络钓鱼表单 来源:Armorblox


  Google提供了一个名为Google Sites的免费web托管平台,允许用户创建由sites.google.com网站域。

  在Armorblox分享的一个例子中,我们可以看到一个Google站点页面,该页面托管一个伪造的微软登录表单来窃取用户的微软账户凭证。


  谷歌网站钓鱼登陆页面 来源:Armorblox


  最后,在网络钓鱼诈骗中最常见的Google服务是googledocs。这项服务不仅用于将接收者重定向到凭证盗窃和会计欺诈,而且还用于传递恶意软件。

  由于googledocs被大量使用,几乎所有新文档都会绕过安全的电子邮件网关,直到被识别为恶意文档。

  “由于谷歌文档已经出现在我们的日常生活中,普通收件人看到同事发来的电子邮件中有谷歌文档链接,不会感到惊讶。它也不会被任何电子邮件安全过滤器阻止-无论如何,不会在第0天。在这封邮件中使用谷歌文档是为了欺骗收件人的眼睛测试和传统的安全层。

  googledocs在BazarLoader恶意软件活动中也被大量使用,作为下载伪装成发票、COVID-19信息和其他类型文档的中间页面。

  虽然这份报告关注的是谷歌服务的滥用,但威胁参与者还利用其他公司的免费服务,包括Dropbox、Canva和Azure。


  为了保护自己免受类似的网络钓鱼诈骗,建议您:


  遵循2FA和密码管理最佳实践

  对敏感邮件进行严格的眼睛检查,尤其是与钱有关的邮件。

  创建您自己的身份验证行

  使用附加控件增强本机电子邮件威胁检测

  即使您遵循了所有这些建议,也必须将所有带有链接和附件的电子邮件视为可疑邮件。

  不要简单地单击链接或打开附件,而是先扫描它们,如果不确定,请与网络管理员联系。打电话给发件人确认他们是否发送了电子邮件也是一件好事。

  只要确保不要使用电子邮件中列出的电话号码,因为它可能是威胁参与者的号码。


  【参考来源:bleepingcomputer】

最新发布
1
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
2
Digicert全球价格调整策略-中国区市场指导价格执行通知
3
热点问题解答 | vTrus SSL证书三问三答,自主品牌保障企业网站安全合规
4
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
5
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
6
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
7
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
8
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
9
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
10
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
相关推荐
商务部等12部门联合印发重磅文件,SSL数据安全保障服务价值凸显
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
热点问题解答 | vTrus SSL证书三问三答,自主品牌保障企业网站安全合规
Digicert全球价格调整策略-中国区市场指导价格执行通知
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾