Чтобы выманить у сотрудников компаний учетные данные от корпоративной почты, злоумышленникам в первую очередь нужно обмануть антифишинговые решения на почтовых серверах. Нередко для этого они пытаются использовать легитимные веб-сервисы: те, как правило, имеют заслуживающую доверия репутацию и не вызывают подозрений у почтовых фильтров. В последнее время в качестве одного из таких сервисов мошенники все чаще используют Google Apps Script.
Что такое Apps Script и как его используют злоумышленники
Apps Script — скриптовая платформа Google, построенная на базе Java Script. По задумке авторов, она служит для автоматизации задач как в продуктах компании (например, аддонов для Google Docs), так и в сторонних приложениях. По большому счету, это сервис, позволяющий создавать скрипты и исполнять их в инфраструктуре Google.
В почтовом фишинге этот сервис используют, по сути, для редиректа. Вместо того, чтобы вставлять непосредственно URL вредоносного сайта, злоумышленники зашивают в текст ссылку на скрипт. Таким образом они решают сразу несколько задач:
- Для антифишингового решения на почтовом сервере письмо выглядит как нормальное послание с гиперссылкой на легитимный сайт Google с нормальной репутацией.
- Такая схема позволяет эксплуатировать фишинговый сайт дольше, поскольку его URL не светится в письмах, а следовательно, не виден большей части защитных решений.
- Схема получает определенную гибкость — при необходимости скрипт можно поменять (на случай, если сайт все-таки будет забанен вендорами защитных решений), а кроме того, скрипт позволяет экспериментировать с доставкой контента (например, посылать жертву на разные языковые варианты сайта в зависимости от региона).
Пример использования уловки с Google Apps Script
Все, что нужно злоумышленникам — заставить пользователя кликнуть по ссылке. В последнее время чаще всего в качестве повода используют «переполнение почтового ящика». В теории выглядит логично — место, отведенное под почтовый ящик жертвы, закончилось, и нужно либо удалять старые письма, либо запрашивать расширение квоты.
На практике злоумышленники чаще всего действуют достаточно небрежно и оставляют явные признаки мошенничества, которые легко может заметить даже человек, не знакомый с реальным форматом нотификаций от почтового клиента:
- Письмо пришло вроде бы от Microsoft Outlook, однако почтовый адрес отправителя имеет какой-то совершенно посторонний домен. В легитимном письме так не бывает — нотификация о переполнении ящика приходит от сервера exchange, работающего в инфраструктуре вашей компании. Плюс, если приглядеться, то заметно, что имя отправителя Microsoft Outlook написано без пробела и с символом 0 вместо буквы O.
- Самое главное: если подвести мышку к ссылке Fix this in storage settings, то вы увидите реальный адрес:
Легитимных причин, почему из нотификации от почтового клиента Microsoft нужно переходить на сайт Google — нет. Да и вообще из какого бы то ни было письма. Единственная причина — попытка фишинга.
- В глаза бросается красная шкала — ваш почтовый ящик внезапно превысил лимит на 850 мегабайт. Так не бывает – Outlook начинает предупреждать о том, что место заканчивается, задолго до достижения лимита. То есть чтобы внезапно превысить его настолько, нужно получить примерно гигабайт спама. Это крайне маловероятно. На всякий случай — легитимная нотификация Outlook выглядит вот так:
- Если вы все-таки ткнули на Fix this in storage settings, то скрипт перенаправит вас на фишинговый сайт. В данном случае он является достаточно убедительной копией страницы логина от веб-интерфейса Outlook. Однако следует обратить внимание на адресную строку браузера — хостится она не в инфраструктуре жертвы, а, как обычно, на «левом» сайте.
Как не попасться на крючок
Как показывает практика, злоумышленники могут прислать фишинговое письмо, в котором не будет как таковой фишинговой ссылки. Поэтому для надежной защиты от уловок мошенников необходимо иметь антифишинговое решение и на уровне почтового сервера, и на компьютерах пользователей.
Кроме того, имеет смысл поддерживать уровень осведомленности сотрудников о современных киберугрозах и фишинговых уловках при помощи онлайновых тренингов.