اخبار

حمله فیشینگ پیشرفته با سوءاستفاده از سرویس Google Cloud برای جعل پیام‌های معتبر

ارسال توسط author-avatar
۰

با افزایش تعداد حملات سایبری در سال‌های اخیر، به ویژه حملات فیشینگ، روش‌های جدید و پیچیده‌تری برای فریب کاربران به‌کار گرفته می‌شود. یکی از جدیدترین نمونه‌ها، حمله‌ای است که در آن از خدمات ابری گوگل، یعنی Google Cloud’s Application Integration، برای ارسال ایمیل‌های فیشینگ استفاده شده است. این حمله به‌وسیله سوءاستفاده از پیام‌های معتبر گوگل طراحی شده و از آنجا که به‌طور ظاهری پیام‌ها از یک آدرس ایمیل شناخته‌شده و معتبر ارسال می‌شوند، موفق به فریب بسیاری از کاربران شده است.

در این گزارش خبری در کارینا سکیوریتی، به تحلیل دقیق این کمپین فیشینگ و نحوه عملکرد آن پرداخته خواهد شد. همچنین، به بررسی اقدامات صورت‌گرفته توسط گوگل و توصیه‌هایی برای کاربران و سازمان‌ها برای مقابله با چنین حملاتی خواهیم پرداخت.

جزییات حمله و نحوه عملکرد آن

مهاجمان این کمپین فیشینگ، از سرویس «یکپارچگی اپلیکیشن» (Application Integration) گوگل استفاده کرده‌اند. این سرویس به‌طور معمول برای ارسال ایمیل‌های اطلاع‌رسانی سفارشی به کاربران در محیط‌های مختلف مورد استفاده قرار می‌گیرد. ویژگی‌ای که این سرویس دارد این است که ایمیل‌ها از دامنه‌های معتبر گوگل ارسال می‌شوند و به همین دلیل، احتمال عبور از فیلترهای امنیتی ایمیل و رسیدن به صندوق ورودی کاربر بسیار بالاتر می‌رود.

آدرس ارسال‌کننده ایمیل

آدرس ایمیلی که برای ارسال این پیام‌ها استفاده شده، “noreply-application-integration@google.com” است. این آدرس به‌خوبی مشابه آدرس‌هایی است که در سرویس‌های رسمی گوگل استفاده می‌شود، به‌طوری که کاربران معمولی به‌راحتی نمی‌توانند تفاوت آن را با ایمیل‌های رسمی شناسایی کنند.

محتوای ایمیل‌ها

ایمیل‌های ارسال‌شده توسط مهاجمان معمولاً به‌طور دقیق و هوشمندانه از پیام‌های معمولی و معتبر گوگل تقلید کرده‌اند. محتوای این ایمیل‌ها شامل هشدارهایی مبنی بر دسترسی به فایل‌ها یا درخواست‌های مجوز برای دسترسی به اسناد یا پیام‌های صوتی است. به‌طور خاص، در بیشتر موارد، ایمیل‌ها حاوی درخواست‌هایی برای کلیک بر روی لینک‌های داخلی بودند که به ظاهر به یک فایل «Q4» اشاره می‌کردند. این‌گونه پیام‌ها به دلیل شباهت زیاد با پیام‌های واقعی و عادی، کاربران را به‌راحتی فریب می‌دهند.

نحوه کارکرد زنجیره حمله

حمله فیشینگ مذکور دارای یک زنجیره چندمرحله‌ای است که پس از کلیک کاربر بر روی لینک موجود در ایمیل، آغاز می‌شود. اولین مرحله، هدایت کاربر به یک لینک در دامنه storage.cloud.google.com است که متعلق به گوگل است. این لینک، کاربر را به یک صفحه جعلی CAPTCHA هدایت می‌کند که به‌طور خاص برای فریب سیستم‌های امنیتی طراحی شده است. این مرحله به‌منظور فریب سیستم‌های امنیتی طراحی شده است تا حمله شناسایی نشود و امنیت آن با استفاده از اعتبارسازی CAPTCHA برای کاربر واقعی، حفظ گردد.

مرحله بعدی پس از عبور از صفحه CAPTCHA، کاربر به یک صفحه ورود جعلی مایکروسافت هدایت می‌شود. این صفحه دقیقاً مشابه صفحه ورود رسمی مایکروسافت است، با این تفاوت که در دامنه‌ای غیر از دامنه‌های متعلق به مایکروسافت قرار دارد. کاربر به اشتباه ممکن است اطلاعات حساسی نظیر نام کاربری و رمزعبور خود را وارد کند، که بلافاصله توسط مهاجمان به سرقت می‌رود.

هدف حمله و تأثیرات آن

هدف اصلی این کمپین فیشینگ، سرقت اطلاعات مربوط به حساب‌های Microsoft 365 است. بسیاری از سازمان‌ها و شرکت‌ها از این سرویس برای مدیریت ایمیل‌ها و فایل‌های کاری خود استفاده می‌کنند و به همین دلیل، دسترسی به این حساب‌ها می‌تواند برای مهاجمان بسیار ارزشمند باشد. حمله به این حساب‌ها می‌تواند به‌طور مستقیم به سرقت داده‌ها، دسترسی به اسناد محرمانه، یا حتی اقدامات خرابکارانه بیشتر منجر شود.

این کمپین فیشینگ علاوه بر شرکت‌ها، می‌تواند بر روی کاربران فردی نیز تأثیر بگذارد، به‌ویژه کسانی که از سرویس‌های مایکروسافت 365 یا دیگر محصولات ابری استفاده می‌کنند.

گام‌های انجام شده توسط گوگل

پس از شناسایی این حمله، گوگل اقدام به مسدود کردن تلاش‌های فیشینگ کرد که از ویژگی‌های اعلان ایمیل در سرویس «یکپارچگی اپلیکیشن» Google Cloud سوءاستفاده می‌کردند. گوگل همچنین اعلام کرده است که اقدامات بیشتری را برای جلوگیری از سوءاستفاده‌های بیشتر از این ویژگی‌ها اتخاذ کرده است.

گوگل در پشتیبانی خود تأکید کرده است که این نوع سوءاستفاده‌ها نشان‌دهنده تهدیدات پیچیده‌تری هستند که مهاجمان می‌توانند با بهره‌گیری از زیرساخت‌های معتبر ابری انجام دهند. این موضوع اهمیت لایه‌های امنیتی اضافی در سرویس‌های ابری را به‌ویژه در محیط‌های سازمانی بیشتر از پیش نشان می‌دهد.

توصیه‌ها و پیشگیری از حملات مشابه

مقابله با حملات فیشینگ به‌ویژه زمانی که مهاجمان از سرویس‌های معتبر برای فریب کاربران استفاده می‌کنند، به مراتب پیچیده‌تر است. در اینجا چند توصیه برای کاربران و سازمان‌ها ارائه می‌شود:

  1. آموزش کارکنان و کاربران: کاربران باید همواره نسبت به ایمیل‌هایی که از منابع ناشناخته یا به‌ظاهر معتبر دریافت می‌کنند، حساس باشند و از کلیک بر روی لینک‌های مشکوک خودداری کنند.

  2. استفاده از احراز هویت چندعاملی (MFA): فعال‌سازی MFA می‌تواند در صورت سرقت اطلاعات حساب، از دسترسی مهاجمان به حساب‌های کاربران جلوگیری کند.

  3. پیگیری حملات و استفاده از ابزارهای امنیتی پیشرفته: سازمان‌ها باید از ابزارهای پیشرفته نظارتی برای شناسایی و مسدود کردن حملات فیشینگ استفاده کنند.

 

نتیجه‌گیری

کمپین فیشینگ مذکور نشان‌دهنده پیچیدگی‌های جدیدی است که در حملات سایبری به‌ویژه با استفاده از زیرساخت‌های ابری به‌وجود آمده است. مهاجمان با بهره‌گیری از منابع معتبر و شناخته‌شده، می‌توانند به راحتی از فیلترهای امنیتی عبور کنند و به اهداف خود دست یابند. برای مقابله با چنین تهدیداتی، نیاز به آگاهی و آمادگی بیشتر از سوی کاربران و سازمان‌ها احساس می‌شود.

منبع: thehackernews.com

جدیدتر
کشف آسیب‌پذیری بحرانی در مودم‌های DSL قدیمی D-Link و سوءاستفاده فعال در فضای سایبری
قدیمی تر VVS Stealer: سرقت اطلاعات حساب‌های دیسکورد و آسیب‌پذیری‌های تازه‌کار در دنیای سایبری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *