A Google űrlapok vonzó lehetőséget kínálnak a digitális támadók számára:

• az űrlapokat könnyű implementálni,
• a szervezetek, illetve a fogyasztók is megbíznak bennük,
• a szolgáltatástól származó és oda érkező forgalmat Transport Layer Security (TLS) titkosítás biztosítja, így a védekezők nem tudják könnyen megvizsgálni,
• a rendszer gyakorlatilag ingyenes támadási infrastruktúrát biztosít.

A sophos elemzése arra mutat, hogy bár a Google űrlapokkal való legtöbb visszaélés a kibertámadók részéről továbbra is az alacsony képesítéssel bíró adathalász és csaló spam területén marad, egyre több jel utal arra, hogy az ellenfelek kifinomultabb támadásokhoz is felhasználják a platform előnyeit. A Sophos példái között olyan támadók is szerepelnek, akik a Google űrlapokat használták adatok megszerzésére és kártevők vezérlésére.

Kép:Pixabay

Hogyan élnek vissza a digitális csalók és vírus-üzemeltetők a Google űrlapokkal?

Adathalászat: Annak ellenére, hogy a Google az űrlapok minden oldalán figyelmezteti a felhasználókat, hogy ne adjanak meg jelszavakat, a Sophos számos példát talált arra, ahol a támadók megpróbálták rávenni a potenciális áldozatokat a hitelesítő adataik megadására olyan Google űrlapokon keresztül, melyek kialakítása egy login oldalra emlékeztetett. Ezek az űrlapok gyakran ártalmas spam kampányokhoz kötődtek.

Ártalmas spam kampány: A spamekben található Google űrlap linkek egyik legnagyobb forrása a “leiratkozó” hivatkozások voltak a csaláshoz kapcsolódó marketing emailekben. A Sophos számos spam-alapú adathalász kampányt észlelt, mely Microsoft online fiókokat célzott, beleértve Office 365 fiókokat is. A spam üzenet azt állította, hogy a címzettek emailfiókjait deaktiválni fogják, ha nem erősítik meg azokat, és felajánlottak egy Google űrlaphoz tartozó linket, amely a Microsoft fiókjuk hitelesítő adatainak megadására kérte a felhasználókat. Ezek az oldalak a Microsoft a grafikai elemeivel voltak kidekorálva, ám így is láthatóan Google űrlapok voltak.

Bankkártya adatok ellopása: A belépőszintű csalók a Google űrlapok kész dizájnsablonjait használják arra, hogy megpróbáljanak fizetési adatokat lopni meghamisított “biztonságos” elektronikus kereskedelmi oldalakon keresztül.

Potenciálisan nemkívánatos alkalmazások (“Potentially Unwanted Applications”, PUA-k), mint például adware-ek: A kutatók számos potenciálisan nemkívánatos alkalmazást is felfedeztek, melyek Windows felhasználókat céloztak. Ezek az appok is a Google szolgáltatását használják titokban: a webes kérelmeket automatikusan összegyűjtik és továbbítják az űrlapoknak anélkül, hogy bármilyen felhasználói beavatkozást megkívánnának.

Hamis felhasználói felületek ártalmas Android appok számára: A Sophos néhány Android applikációt is talált, melyek Google űrlapokat használtak az adatok megszerzésére, így nem kellett elkészíteni egy back-end weboldal kódját. A legtöbb adware volt vagy PUA. A kutatók például felfedezték a “SnapTube” videó appot, amely internetes hirdetési csaláson keresztül generál bevételt a fejlesztőnek és egy Google űrlapot tartalmaz a felhasználói visszajelzéseknek.

Adatok eltávolítása: A kutatók számos kifinomultabb fenyegetést is felfedeztek, melyek a Google űrlapokkal élnek vissza. Ezek közé káros Windows applikációk is tartoztak, melyek a Google űrlapokhoz tartozó webes kéréseket használták, hogy a számítógépekről ellopott adatokat Google űrlapokon keresztül továbbítsák egy Google táblázatba.

Egy nagyobb ártalmas kibertámadás infrastruktúrájának része: A Sophos telemetriája számos PowerShell scriptet észlelt, melyek Google űrlapokkal léptek kapcsolatba. Sikerült összeállítanunk egy prototípust azzal kapcsolatban, hogyan lehet PowerShell scripteket Windows profiladatok összegyűjtésére használni a számítógépről és azokat automatikusan egy Google űrlapba továbbítani.