Nowa taktyka phishingu i technika ukrywania hakerów wykorzystująca Google AMP. Omija zabezpieczenia poczty

50

Odkryto nową taktykę phishingu, wykorzystującą Google Accelerated Mobile Pages (AMP) oraz techniki ukrywania, które skutecznie omijają infrastrukturę bezpieczeństwa poczty e-mail.

Co to takiego Google AMP?

Framework HTML typu open source o nazwie Google AMP służy do tworzenia stron internetowych kompatybilnych z urządzeniami mobilnymi i przeglądarkami. Strony AMP są hostowane na serwerach Google, gdzie treść jest uproszczona, a niektóre cięższe elementy multimedialne wstępnie ładowane w celu szybszego dostarczania.

Złośliwe maile z linkami AMP

W ramach nowej strategii cyberprzestępcy zaczęli używać adresów URL Google AMP jako linków w swoich wiadomościach phishingowych.

Celem wykorzystania adresów URL Google AMP w wiadomościach phishingowych jest uniemożliwienie technologii ochrony poczty e-mail oznaczania wiadomości jako złośliwych lub podejrzanych ze względu na ich dobrą reputację Google.

Więcej od autora
1 z 168

Adresy URL AMP powodują przekierowanie do złośliwej witryny wyłudzającej informacje, a ten dodatkowy krok dodaje również warstwę zakłócającą analizę.

schemat phishingu z wykorzystaniem amp
Źródło: Cofense

Zaobserwowano cyberprzestępców, którzy hostowali złośliwe strony internetowe przy użyciu ścieżki adresu URL Google AMP w swoich wiadomościach phishingowych w celu kradzieży danych logowania do poczty e-mail. Wykrycie złośliwego charakteru wiadomości może być trudne dla infrastruktury bezpieczeństwa poczty, ponieważ używane adresy URL są hostowane w legalnych domenach Google. Dodanie Google Analytics daje również przestępcom możliwość śledzenia interakcji użytkowników na ich stronach phishingowych.

Adres URL Google AMP działa bardzo podobnie do przekierowania, odsyłając użytkowników z początkowego adresu URL do adresu URL znalezionego w ścieżce. W tym przykładzie jest to adres URL hostowany w domenie netbitsfibra[.]com.

Według raportu Cofense adresy URL są niezwykle skuteczne w docieraniu do konsumentów w środowiskach chronionych przez bezpieczne bramy poczty e-mail (SEG – Security Email Gateway).

Zaobserwowana skala zjawiska
Źródło: Cofense

Komentarz