Οι φορείς απειλών κάνουν κατάχρηση του Google AMP για αποφυγή επιθέσεων phishing
Οι ερευνητές ασφαλείας προειδοποιούν για αυξημένη δραστηριότητα ηλεκτρονικού ψαρέματος (phishing) που κάνει κατάχρηση των Σελίδων Google Accelerated Mobile (AMP) για να παρακάμψει τα μέτρα ασφαλείας email και να φτάσει στα εισερχόμενα των εργαζομένων της επιχείρησης.
Το Google AMP είναι ένα πλαίσιο HTML ανοιχτού κώδικα που αναπτύχθηκε από κοινού από την Google και 30 συνεργάτες για να διευκολύνει τη φόρτωση του περιεχομένου ιστού σε κινητές συσκευές.
Οι σελίδες AMP φιλοξενούνται στους διακομιστές της Google, όπου το περιεχόμενο απλοποιείται και ορισμένα από τα βαρύτερα στοιχεία πολυμέσων είναι προφορτωμένα για ταχύτερη παράδοση.
Η ιδέα πίσω από τη χρήση διευθύνσεων URL AMP της Google που είναι ενσωματωμένα σε μηνύματα ηλεκτρονικού ψαρέματος είναι να διασφαλιστεί ότι η τεχνολογία προστασίας email δεν επισημαίνει τα μηνύματα ως κακόβουλα ή ύποπτα λόγω της καλής φήμης της Google.
Οι διευθύνσεις URL AMP ενεργοποιούν μια ανακατεύθυνση σε έναν κακόβουλο ιστότοπο ηλεκτρονικού ψαρέματος (phishing) και αυτό το πρόσθετο βήμα προσθέτει επίσης ένα επίπεδο που διακόπτει την ανάλυση.
Ανακατεύθυνση Google AMP σε ιστότοπο phishing
(Cofense)
Τα δεδομένα από την εταιρεία προστασίας κατά του ψαρέματος Cofense δείχνουν ότι ο όγκος των επιθέσεων ηλεκτρονικού ψαρέματος που χρησιμοποιούν AMP αυξήθηκε σημαντικά προς τα μέσα Ιουλίου, υποδηλώνοντας ότι οι φορείς απειλών ενδέχεται να υιοθετούν τη μέθοδο.
Μηνύματα ηλεκτρονικού ψαρέματος που αξιοποιούν το Google AMP για μυστικότητα
(Cofense)
“Από όλες τις διευθύνσεις URL AMP της Google που έχουμε παρατηρήσει, περίπου το 77% φιλοξενήθηκε στον τομέα google.com και το 23% φιλοξενήθηκε στον τομέα google.co.uk.”
εξηγεί ο Cofense στην έκθεση
.
Αν και η διαδρομή “google.com/amp/s/” είναι κοινή σε όλες τις περιπτώσεις, ο αποκλεισμός αυτής θα επηρεάσει επίσης όλες τις νόμιμες περιπτώσεις χρήσης Google AMP. Ωστόσο, η επισήμανση τους μπορεί να είναι η πιο κατάλληλη ενέργεια, για να ειδοποιηθούν τουλάχιστον οι παραλήπτες να είναι προσεκτικοί για πιθανές κακόβουλες ανακατευθύνσεις.
Extra stealth
Η Cofense λέει ότι οι φορείς phishing που κάνουν κατάχρηση της υπηρεσίας Google AMP χρησιμοποιούν επίσης μια σειρά πρόσθετων τεχνικών που συλλογικά βοηθούν στην αποφυγή του εντοπισμού και αυξάνουν το ποσοστό επιτυχίας τους.
Για παράδειγμα, σε πολλές περιπτώσεις που παρατηρήθηκαν από το Cofense, οι παράγοντες απειλών χρησιμοποιούσαν μηνύματα ηλεκτρονικού ταχυδρομείου HTML που βασίζονταν σε εικόνα αντί για ένα παραδοσιακό σώμα κειμένου. Αυτό γίνεται για να μπερδέψουν τους σαρωτές κειμένου που αναζητούν κοινούς όρους ηλεκτρονικού ψαρέματος στο περιεχόμενο του μηνύματος.
Μήνυμα ηλεκτρονικού ψαρέματος βάσει εικόνας
(Cofense)
Σε ένα άλλο παράδειγμα, οι εισβολείς χρησιμοποίησαν ένα επιπλέον βήμα ανακατεύθυνσης, κάνοντας κατάχρηση μιας διεύθυνσης URL του Microsoft.com για να μεταφέρουν το θύμα σε έναν τομέα Google AMP και τελικά στον πραγματικό ιστότοπο ηλεκτρονικού ψαρέματος.
Ανακατεύθυνση της Microsoft σε έναν ιστότοπο Google AMP
(Cofense)
Τέλος, οι εισβολείς χρησιμοποίησαν την υπηρεσία CAPTCHA του Cloudflare για να εμποδίσουν την αυτοματοποιημένη ανάλυση των σελίδων phishing από bots ασφαλείας, εμποδίζοντας τους ανιχνευτές να φτάσουν σε αυτές.
Συνολικά, οι φορείς ηλεκτρονικού ψαρέματος σήμερα χρησιμοποιούν πολλαπλές μεθόδους αποφυγής εντοπισμού που καθιστούν ολοένα και πιο δύσκολο για τους στόχους και τα εργαλεία ασφαλείας να συλλάβουν τις απειλές και να τις αποκλείσουν.
