По информации Bleeping Computer, ИБ-эксперты из компании Avanan с декабря прошлого года начали фиксировать массовое использование новой уловки со стороны киберперступников. Они нашли способ целенаправленно распространять фишинговые ссылки через комментарии в сервисе Google Docs. В этом случае пользователю на электронную почту приходит уведомление с вредоносной ссылкой от имени Google. Эту рассылку, как доверенную, пропускают антивирусные почтовые сканеры и корпоративные системы защиты.
Способ новой фишинговой атаки оказался очень простой. Для этого они используют доступную им базу данных с именами аккаунтов пользователей Google. Хакеры под разными аккаунтами создают в сервисе Google Docs документы. В нем злоумышленники создают комментарии, где указывается через вставку спецразметки "@имя_аккаунта_в_Google" различных пользователей. Также в эти комментарии вставляется фишинговая ссылка или другая информация.
Avanan зафиксировала такую рассылку со стороны более чем 100 учетных записей Google, созданных злоумышленниками. Их комментарии с фишинговыми ссылками пришли более чем на 500 почтовых ящиков, принадлежавших 30 компаниям. По данным ИБ-специалистов, данная уловка также работает в Google Slides и других системах сервиса Google Workspace.
После создания такого документа, Google от своего имени отправляет электронное письмо пользователю, упомянутому в комментарии, включая полный текст от злоумышленников с фишинговой ссылкой. В качестве отправителя этого письма стоит Google, а не злоумышленники. Некоторые пользователи не воспринимают такие сообщения, как угрозу, и переходят по ссылкам в письме.
Пример такой рассылки от сервиса Google Slides, которую пропустила корпоративная защита.Google в курсе этой проблемы. Компания разрабатывает способ закрыть эту уязвимость. В октябре, после уведомления об уязвимости со стороны Avanan, Google уже пыталась ограничить пересылку в комментариях ссылок, но так и не смогла до конца закрыть возможность их отправки.
Специалисты Avanan пояснили, что считают эту схему фишинговой рассылки опасной и предупреждают пользователей и системных администраторов, что нужно не только проверять адрес отправителя электронного письма, но и его содержание. Они советуют ни в коем случае не переходить по ссылкам внутри таких писем от Google. Avanan ожидает, что в скором времени Google закроет возможность злоупотребления системой комментариев в сервисах Google Docs.
