Google Forms — 科技巨头广受欢迎的调查工具,已成为网络犯罪分子武器库中的得力工具。它使犯罪分子能够绕过复杂的电子邮件安全过滤器,并获取敏感的用户凭证。
安全研究人员发现,利用这个值得信赖的平台发起的攻击数量激增,犯罪分子借此创建出极具说服力的网络钓鱼活动,利用了用户对 Google 服务的固有信任。
网络犯罪分子越来越多地使用 Google Forms,这得益于它在战术上的几个优势。
攻击者正在利用 Google Forms
作为 Google 的一项正规服务,该平台的良好声誉意味着指向这些表单的链接常常能绕过电子邮件安全控制机制,而这些机制通常会标记出可疑的网址。
由于 Google Forms 在 *.google.com域名下运行,并采用了 HTTPS 加密技术,安全解决方案往往会将这类流量归类为可信任的。
ESET 的研究人员表示,这种攻击通常始于一封网络钓鱼电子邮件,邮件中包含有关账户验证、密码重置或安全警报的紧急信息。
这些电子邮件包含一个指向 Google Forms 的链接,该表单被设计成模仿 Microsoft 365、银行网站或企业虚拟专用网络(VPN)等服务的合法登录门户。
这些恶意表单采用了多种技巧来使其看起来真实可信。通过使用自定义样式和熟悉的品牌元素,受害者常常没有注意到他们是在向一个恶意表单而非合法的登录页面提交凭证。
传统的电子邮件安全在很大程度上依赖于网址信誉和域名黑名单。而利用Google Forms进行的攻击很难防范,因为它们使用的是合法域名(docs.google.com/forms/),如果全面封锁这些域名,就会干扰正常的业务运营。
此外,攻击者还利用网址混淆技术和网址缩短工具来进一步掩盖目标网址。
安全研究人员观察到,攻击者在表单中使用 HTTP POST 方法,通过 Webhook 功能将窃取到的凭证传输到外部服务器,这使得安全团队的检测工作尤其具有挑战性。
金融机构报告称,针对其客户、基于 Google Forms 的网络钓鱼攻击数量增加了 63%,一家大型银行在一个月内就发现了超过 2300 起试图窃取用户凭证的行为。
教育机构尤其容易受到攻击,多所大学报告称,出现了针对教职员工和学生的大规模凭证窃取活动。
防护措施
企业和机构应采取以下防护措施:
1.部署具备深度内容检测功能的先进电子邮件安全系统。
2.建立严格的发件人策略框架(SPF)、域名密钥识别邮件(DKIM)和基于域名的消息认证、报告和一致性(DMARC)协议。
3.在所有系统中实施多因素身份验证。
4.定期开展安全意识培训,重点是识别合法的 Google Forms。
用户在提交凭证之前应仔细验证所有表单的网址,并牢记合法服务很少会通过 Google Forms 来要求进行密码验证。
随着攻击者继续将可信赖的平台武器化,对于个人和企业机构来说,保持警惕以防范这些日益复杂的社会工程学攻击手段仍然至关重要。
发表评论
您还未登录,请先登录。
登录